ESCUELA POLITÉCNICANACIONAL
ESCUELA DE INGENIERÍA
DISEÑO E IMPLEMENTACION DE DOSSOLUCIONES DE SEGURIDAD PARA UNA RED LAN
INALÁMBRICA
PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO ENELECTRÓNICA Y REDES DE INFORMACIÓN
JORGE ISAAC INSUASTI PROANO
DIRECTOR: ING. PABLO HIDALGO
Quito, Noviembre de 2004
DECLARACIÓN
Yo Jorge Isaac Insuasti Proaño, declaro bajo juramento que el trabajo aquí
descrito es de mi autoría; que no ha sido previamente presentado para ningún
grado o calificación profesional; y, que he consultado las referencias
bibliográficas que se incluyen en este documento.
A través de la presente declaración cedo mis derechos de propiedad intelectual
correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo
establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad institucional vigente.
Jorge Isaac Insuasti Proaño
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Jorge Isaac Insuasti
Proaño, bajo mi supervisión.
/ Ing. Pablo Hidalgo
DIRECTOR DE PROYECTO
AGRADECIMIENTO
A Dios, por haberme dado salud y tranquilidad.
A mi familia, por su apoyo incondicional.
A Shirma, por su amor y fortaleza.
A mis profesores, por su dedicada labor y confianza en la
educación.
A mis amigos, por su compañía y ayuda en los momentos
difíciles,
Al Ing-. Pablo Hidalgo, por su guía dentro y fuera de las aulas.
A la Escuela Politécnica Nacional, por haberme echo crecer.
Gracias
VI
PRESENTACIÓN
En la actualidad se vive una auténtica revolución de la tecnología inalámbrica.
Cada vez más y más empresas están implementando redes LAN inalámbricas
por las necesidades de movilidad que el negocio requiere. E! boom inalámbrico
se ha dado gracias a una reducción en los costos de los equipos y al aumento
de la velocidad de transmisión, resultado de los avances en la investigación
en ésta tecnología.
Pero las redes inalámbricas traen consigo nuevos retos que deben superarse
para que puedan convertirse en una solución óptima para el mercado.
El principal reto de las redes inalámbricas es la seguridad. La tecnología
inalámbrica es por naturaleza insegura ya que las señales de datos viajan
libremente por el aire y pueden ser interceptadas fácilmente afectando así la
segundad de toda la red.
Si no se afronta este reto de seguridad, las redes inalámbricas no serían
prácticas para las empresas pues tendrían un agujero de seguridad y no se
podría aprovechar toda la potenciaiidad de las mismas.
Por lo mencionado anteriormente nace la necesidad de proveer mecanismos
de seguridad robustos que permitan tener autenticación, confidencialidad e
integridad en los sistemas inalámbricos. Para cumplir con este objetivo ei
presente trabajo propone un estudio de los diferentes aspectos de la seguridad
en redes inalámbricas y las principales soluciones disponibles actualmente en
el mercado, para en base a ello desarrollar dos soluciones de segundad para
una red LAN inalámbrica.
Las soluciones seleccionadas están implementadas en función de los
estándares disponibles actualmente en el mercado y utilizan toda la
potencialidad de las herramientas que el fabricante (Cisco Aironet) ofrece para
brindar seguridad a la red inalámbrica.
Vil
RESUMEN
El presente trabajo enfrenta el principal reto de las redes LAN inalámbricas, la
seguridad. Para ello se inicia con una introducción al estándar IEEE 802.11
para abarcar ei funcionamiento y los principales aspectos de las redes LAN
inalámbricas (WLAN).
A continuación se realiza una introducción a la bases de la seguridad, donde se
ubican conceptos de autenticación, integridad, confidencialidad y disponibilidad
de los sistemas. También se tratan las principales herramientas existentes para
brindar seguridad a los mismos como por ejemplo la encripción, las firmas
digitales, los certificados digitales, ios algoritmos de hash, etc.
Posteriormente se realiza un estudio de ios principales mecanismos de
seguridad existentes para WLAN's, específicamente WEP (Wired Equivalency
Protocof), WPA (Wí-Fí Protected Access) y EAP (Extensibie Authentication
Protocof) con sus principales impiementaciones comerciales. Se establecen
comparaciones y las ventajas y desventajas de la implementación de los
diferentes mecanismos en situaciones reales.
En base a este estudio, se realiza la implementación de las dos soluciones de
seguridad, EAP (concretamente LEAP, Lightweight EAP) y WEP (con mejoras
WPA), que se desarrolla con equipos CISCO para la infraestructura de .red
inalámbrica; esto es, puntos de acceso CISCO Aironet 340 y tarjetas
inalámbricas CISCO Aironet PCMCIA 350 en los clientes. Además se considera
el caso general de usuarios con sistema operativo Windows.
Para la implementación de la solución LEAP, se realiza la instalación y
configuración de un servidor RADIUS, para lo cual se elige un software
comercial, el Odyssey Server, que ofrece compatibilidad con LEAP y soporte
para plataformas Windows. Ambas soluciones se someten a pruebas de
funcionamiento para verificar su correcto desempeño y presentar las
conclusiones finales.
VIII
ÍNDICE
DECLARACIÓN
CERTIFICACIÓN
AGRADECIMIENTO III
DEDICATORIA
PRESENTACIÓN
RESUMEN
ÍNDICE
IV
VI
Vil
VIII
CAPITULO 1
1. DESCRIPCIÓN DE LA TECNOLOGÍA DE REDES INALÁMBRICAS
1.1. FUNDAMENTOS DE LAS REDES INALÁMBRICAS 1
1.1.1. CONSIDERACIONES AL USO DE LA TECNOLOGÍA INALÁMBRICA 1
1.1.2. TIPOS DE REDES INALÁMBRICAS 3
1.1.2.1. WWAN, Redes Inalámbricas de Área Extendida 4
1.1.2.2. WMAN, Redes Inalámbricas de Área Metropolitana 5
1.1.2.3. WLAN, Redes inalámbricas de Área Local 5
1.1.2.4. WPAN, Redes Inalámbricas de Área Personal 6
1.1.3. VENTAJAS Y DESVENTAJAS DE LAS REDES INALÁMBRICAS 6
1.1.3.1. Ventajas 6
1.1.3.2. Desventajas 7
1.2. HISTORIA Y EVOLUCIÓN DE LAS REDES INALÁMBRICAS 8
1.3. TOPOLOGÍAS DE LAS REDES INALÁMBRICAS 10
1.3.1. DESCRIPCIÓN GENERAL DEL FUNCIONAMIENTO DE LA TOPOLOGÍA
DE INFRAESTRUCTURA 10
1.3.2. DESCRIPCIÓN GENERAL DEL FUNCIONAMIENTO DE LA
TOPOLOGÍA AD-HOC ; 11
1.4. ESTUDIO DEL ESTÁNDAR IEEE 802.11 12
1.4.1. ALCANCE DEL ESTÁNDAR IEEE 802.11 13
1.4.1.1. COMPONENTES Y TOPOLOGÍAS DEL IEEE 802.11 13
1.4.2. PILA DE PROTOCOLOS DE 802.11 14
1.4.3. CAPA FÍSICA DE 802.11 14
1.4,3.1. Infrarrojos 15
IX
1.4.3.2. FHSS 15
1.4.3.3. DSSS 16
1.4.3.4. OFDM 802.11a 16
1.4.3.5. HR-DSSS 17
1.4.3.6. OFDM 802.11g 17
1.4.4. CAPA DE ACCESO AL MEDIO 802.11 17
1.4.4.1. Función de Coordinación Distribuida DCF 19
1.4.4.2. PCF Función de Coordinación puntual 20
1.4.5. ESTRUCTURADELATRAMA802.il 21
1.4.6. SERVICIOS DE 802.11 23
1.4.6.1. Servicios de distribución 23
1.4.6.2. Servicios de Estación 24
1.4.7. DESCRIPCIÓN DEL ESTÁNDAR IEEE802.11b 24
1.4.8. DESCRIPCIÓN DEL ESTÁNDAR IEEE 802.11a 25
1.4.9. DESCRIPCIÓN DEL ESTÁNDAR IEEE802.11g 25
1.4.10. APLICACIONES DE LAS REDES 802.11 26
1.4.10.1. Redes inalámbricas públicas 26
1.4.10.2. Complemento de redes cableadas 28
1.4.10.3. Redes temporales 28
1.4.10.4. Redes Caseras 29
1.4.10.5. Interconexión de edificios 29
1,5. RETOS ACTUALES DE LAS REDES LAN INALÁMBRICAS 30
1.5.1. RETOS DE SEGURIDAD 30
1.5.2. RETOS PARA LOS USUARIOS MÓVILES 31
1.5.3. RETOS DE CONFIGURACIÓN 32
CAPÍTULO 2
2. PRINCIPALES MECANISMOS DE SEGURIDAD EN LAS REDES LAN
INALÁMBRICAS 34
2.1. ASPECTOS GENERALES DE LA SEGURIDAD EN REDES 34
2.1.1. IMPORTANCIA DE LA SEGURIDAD EN REDES 34
2.1.2. HISTORIA DE LA SEGURIDAD EN REDES 35
2.1.3. FUNDAMENTOS DE LA SEGURIDAD 36
2.1.3.1. Autenticación 37
2.1.3.2. Confidencialidad 37
X
2.1.3.3. lntegridad__ 37
2.1.3.4. Disponibilidad 38
2.1.4. AMENAZAS, ATAQUES Y VULNERABILIDADES 38
2.1.4.1. Ataques 38
a) Ataques Pasivos 38
b) Ataques Activos 39
2.1.4.2. Amenazas 39
2.1.4.3. Vulnerabilidades 39
2.2. ENCRIPCIÓN, INTEGRIDAD DE MENSAJES Y CERTIFICADOS DIGITALES _39
2.2.1. CRIPTOGRAFÍA 40
2.2.1.1. Tipos de encripción por la técnica utilizada 41
a) Encripción de flujo ; 41
b) Encripción por Bloques 42
2.2.1.2. Tipos de encripción por las claves utilizadas, 43
a) Encripción Simétrica 43
a.1) DES 44
a.2) IDEA 44
a.3) CAST ; 44
a.4) RC4 45
b) Encripción Asimétrica 45
b.1) Diffie-Helman : 47
b.2) RSA 47
b.3) DSS 47
2.2.1.3. Ruptura del código 48
a) Conocimiento del texto plano 48
b) Eligiendo un texto plano 48
c) Criptoanalisis 48
d) Fuerza Bruta 49
e) Ingeniería Social : 49
f) Otros s 49
2.2.2. Integridad de Mensajes : 49
2.2.2.1. MD4 ; 50
2.2.2.2. MD5 50
2.2.2.3. SHA-1 51
2.2.2.4. RIPEMD 51
2.2.3. FIRMAS DIGITALES Y CERTIFICADOS DIGITALES 51
XI
2.2.3.1. Firmas Digitales 52
2.2.3.2. Certificados Digitales 53
a) Estándar X.509 ; 56
b) Limitaciones de un certificado dígita! 57
c) Autoridades certificadoras 58
d) Infraestructura de clave pública 59
2.3, ASPECTOS GENERALES DE LA SEGURIDAD EN REDES INALÁMBRICAS_61
2.3.1. OBJETIVOS DE LA SEGURIDAD EN REDES INALÁMBRICAS 62
2.3.1.1. Autenticación en Redes Inalámbricas 62
2.3.1.2. Confidencialidad en Redes Inalámbricas 62
2.3.1.3. Integridad en Redes Inalámbricas 62
2.3.2. ATAQUES EN REDES LAN INALÁMBRICAS 63
2.3.2.1. Ataques Pasivos , 63
a) Eavesdropping 63
b) Análisis de Tráfico 64
2.3.2.2. Ataques Activos 65
a) Masquerading 65
b) Replay 65
c) Modificación de Mensaje 65
d) Ataque del hombre en la mitad 65
e) Denegación de Servicio 65
2.3.3. MEDIDAS DE SEGURIDAD EN REDES LAN INALÁMBRICAS 67
2.3.3.1. Filtrado 67
a) Filtrado basado en SSID 68
b) Filtrado basado en MAC 69
c) Filtrado basado en protocolos 70
2.3.3.2. Broadcast del SSID 71
2.3.3.3. Actualización del Firmware del AP y tarjetas inalámbricas , 72
2.3.3.4. SNMP en el AP 72
2.3.3.5. Sesiones de Telnet y acceso vía Web restringido al AP 73
2.4. ESTÁNDARES DE SEGURIDAD EN REDES LAN INALÁMBRICAS 74
2.4.1. WEP 76
2.4.1.1. Generación de claves 76
2.4.1.2. Encripción e Integridad con WEP 77
2.4.1.3. Desencripción 80
2.4.1.4. Autenticación con WEP 81
XII
a) None 81
b) Shared Key Authentication 81
c) Open System Authentication 82
2.4.1.5. Vulnerabilidades de WEP 84
a) Características lineales de CRC32 84
b) MIC Independiente de la llave 85
c) Tamaño de IV demasiado corto 86
d) Reutilización de IV 86
2.4,1.6'. El definitivo rompimiento de WEP 87
2.4.1.7. Ventajas de WEP 88
2.4.1.8. Desventajas de WEP 89
2.4.2. WPA 89
2.4.2.1. PRIVACIDAD E INTEGRIDAD CON TKIP 90
2.4.2.2. MIC 91
2.4.2.3. Reforzamiento del IV. 91
2.4.2.4. Combinación de claves 92
2.4.2.5. Re-Keyíng ; 93
2.4.3. 802.1xyEAP 93
2.4.3.1. EAP Extensible Authentication Protocol 94
a) Formato del paquete EAP 95
b) Peticiones y Respuestas EAP 96
c) Éxito y Fracaso en autenticación EAP 99
d) Ejemplo de intercambio de EAP 100
2.4.3.2. IEEE 802.1x Autenticación basada en puerto 102
a) Arquitectura y Nomenclatura del IEEE 802.1x 102
a) Encapsulación EAPOL 103
b) Ejemplo de intercambio 802.1x ,104
c) RADIUS 107
c.1) Funcionalidades del Servidor RADIUS 108
c.2) Funcionamiento del servidor RADIUS 109
c.3) Formato del paquete RADIUS 110
c.4) Manejo de llaves 111
2.4.3.3. LEAP 112
a) Características técnicas 112
b) Funcionamiento de LEAP 113
c) Ventajas de LEAP 114
d) Desventajas 114
XIII
2.4.3.4. EAP-TLS 114
a) Características técnicas 115
b) Funcionamiento de EAP - TLS \5
b. 1) Fase de autenticación 115
b.2) Fase de autorización 116
b.3) Fase de distribución de clave 117
c) Ventajas de EAP - TLS 118
d) Desventajas de EAP - TLS 118
2.4.3.5. EAP-TTLS 118
a) Características técnicas 119
b) Funcionamiento de EAP - TTLS 119
c) Ventajas de EAP - TTLS 119
d) Desventajas de EAP - TTLS 120
2.5. COMPARACIÓN DE LOS ESTÁNDARES DE SEGURIDAD PARA REDES
INALÁMBRICAS 120
CAPÍTULO 3
3. SOLUCIÓN PARA UNA RED LAN INALÁMBRICA SEGURA DE PEQUEÑA
ESCALA CON WEP
3.1. GENERALIDADES DE LA SOLUCIÓN CON WEP
3.2. DESCRIPCIÓN DEL PROBLEMA
3.3. BOSQUEJO DE LA SOLUCIÓN
3.4. CONFIGURACIÓN DEL AP AIRONET 340 CISCO
3.4.1. CONFIGURACIÓN BÁSICA DEL AP 340 CISCO
3.4.1.1. Acceso vía Consola
3.4.1.2. Acceso vía Telnet
3.4.1.3. Acceso vía Web
3.4.1.4. Confiquración Básica del ÁP CISCO 340 vía Web
3.4.2. ACTUALIZACIÓN DEL FIRMWARE DEL AP 340 CISCO
722
122
123
125
128
128
129
131
132
133
136
3.4.3. CONFIGURACIÓN DE MEDIDAS DE SEGURIDAD GENERALES EN
EL AP340 CISCO 137
3.4.3.1. Creación de Usuarios para Acceso Restringido al AP 138
3.4.3.2. Deshabilitación de SNMP y Telnet en el AP 141
3.4.3.3. Eliminación del Broadcast del SSID 142
XIV
3.4.3.4. Filtrado en el AP 340 CISCO 142
a) Configuración de Filtrado de Protocolos en el AP 340 CISCO 143
b) Configuración de Filtrado MAC en el AP 340 CISCO 144
3.4.4. CONFIGURACIÓN WEP EN EL AP 340 CISCO 147
3.5. CONFIGURACIÓN DEL USUARIO CON TARJETA PCMCIA AIRONET 350
CISCO 152
3.5.1. INSTALACIÓN DE LA TARJETA INALÁMBRICA 152
3.5.2. INSTALACIÓN DEL SOFTWARE PARA EL CLIENTE INALÁMBRICO_153
3.5.3. ACTUALIZACIÓN DEL FIRMWARE _ .153
3.5.4. CONFIGURACIÓN DEL ACU PARA SEGURIDAD WEP
3.6. PRUEBAS DE FUNCIONAMIENTO
3.6.1. PROCESO DE AUTENTICACIÓN NORMAL
3.6.2. USUARIO CONFIGURADO SIN AUTENTICACIÓN
3.6.3. CLAVE WEP ERRÓNEA
3.6.4, CONFIGURACIÓN ERRÓNEA DE PARÁMETROS WEP
3.6.5. APLICACIÓN DEL FiLTRO MAC
3.7. PRESUPUESTO REFERENCIAL
154
158
158
165
167
168
170
172
CAPITULO 4
4. SOLUCIÓN PARA UNA RED LAN INALÁMBRICA SEGURA DE PEQUEÑA
ESCALA CON LEAP
4.1.
4.2.
4.3.
4.4.
4
4
4
4.5.
4
GENERALIDADES DE LA SOLUCIÓN CON LEAP
DESCRIPCIÓN DEL PROBLEMA
BOSQUEJO DE LA SOLUCIÓN
CONFIGURACIÓN DEL SERVIDOR
.4.1. INSTALACIÓN DEL SERVIDOR RADIUS ODYSSEY SERVER
.4.2. CONFIGURACIÓN DEL SERVIDOR RADIUS ODYSSEY
.4.3. ADMINISTRACIÓN DE USUARIOS EN EL SERVIDOR RADIUS
CONFIGURACIÓN DEL AP AIRONET 340 CISCO
.5.1. CONFIGURACIÓN BÁSICA DEL AP 340 CISCO
4.5.1 .1 . Configuración de Filtrado MAC, TKIP y MIC en el AP 340 CISCO
LEAP
174
174
175
175
177
177
183
188
195
195
para
195
4.5.2. CONFIGURACIÓN LEAP EN EL AP 340 CISCO 198
XV
4.6. CONFIGURACIÓN DEL USUARIO CON TARJETA PCMCIA AIRONET 350
CISCO204
4.7. PRUEBAS DE FUNCIONAMIENTO 211
4.7.1. PROCESO DE AUTENTICACIÓN NORMAL 211
4.7.2. CLIENTE SIN CONFIGURACIÓN DE SEGURIDAD 218
4.7.3. CLIENTE CON NOMBRE DE USUARIO INCORRECTO, 219
4.7.4. CLIENTE CON CONTRASEÑA INCORRECTA 221
4.7.5. CLIENTE SIN MAC AUTORIZADA 223
4.8. PRESUPUESTO REFERENCIAL 224
CAPITULO 5
5. CONCLUSIONES Y RECOMENDACIONES 227
5.1. CONCLUSIONES 227
5.1.1. BROADCAST DEL SS\D 227
5.1.2. COMPATIBILIDAD 227
5.1.3. COSTOS Y APLICACIONES PRÁCTICAS DE WEP Y LEAP 228
5.1.4. LOGS Y SU IMPORTANCIA 229
5.1.5. LA SEGURIDAD COMO PROCESO DINÁMICO 231
5.1.6. TKIP 231
5.1.7. SERVIDOR RADIUS 232
5.1.8. EXPANSIÓN DE LAS REDES INALÁMBRICAS 232
5.2. RECOMENDACIONES 233
5.2.1. POLÍTICA DE SEGURIDAD 233
5.2.2. FILTRADO DE PROTOCOLOS 233
5.2.3. FACILIDADES ADMINISTRATIVAS 238
5.2.4. DISEÑO WLAN Y SIMULACIÓN 238
5.2.5. SOLUCIONES CON OTROS FABRICANTES 239
5.2.6. EL FUTURO DE LA SEGURIDAD INALÁMBRICA: 802.11i 239
ANEXOS
GLOSARIO
BIBLIOGRAFÍA
1. DESCRIPCIÓN DE LA TECNOLOGÍA DE REDESt
INALÁMBRICAS
1.1. FUNDAMENTOS DE LAS REDES INALÁMBRICAS
Las redes inalámbricas tienen como objetivo reglizar la interconexión de
diferentes dispositivos a través de un medio de transmisión no guiado. Esto
permite ofrecer conexión a sistemas que requieran rpovilidad o donde no sea
posible llegar con un cableado físico.
La tecnología inalámbrica puede ir desde aplicaciones complejas como redes LAN
inalámbricas WLAN (Wireless Local Área Network) o redes celulares, hasta
aplicaciones sencillas como la conexión de periféricos de un computador. Además
se tienen dispositivos infrarrojos como controles remotos, audífonos inalámbricos
y todo objeto que requiera una línea de vista entre el transmisor y el receptor para
el enlace.
Su principal diferencia con las redes alámbricas es qup las señales se propagan
libremente a través del área de cobertura. Por esto se deben tomar en cuenta
ciertas consideraciones para el uso de esta tecnología.
1.1.1. CONSroERACIONES AL USO DE LA TECNOLOGÍA INALÁMBRICA
La tecnología inalámbrica trae consigo varias consideraciones que se deben
tomar en cuenta al momento de utilizarla [1]. Por su diferencia con las redes
cableadas tradicionales se requiere replantear los conceptos tradicionales y
establecer los nuevos retos que trae consigo esta tecnología. A continuación se
presentan varias de estas consideraciones:
> E! aire es un medio de transmisión muy contaminado, sometido a
interferencias electromagnéticas de todo tipo que pueden disminuir la
calidad de la señal,
> Debido a que las antenas emiten señales de radio en todas las direcciones
a través de la red, se pueden producir choques con ios elementos sólidos
provocando que la señal se refleje y sea recibida varias veces pero por
distintos caminos. Esto genera una interferencia en la recepción haciendo
que la señal se desvanezca. Este efecto se conoce como desvanecimiento
por múltiple trayectoria que se presenta en los sistemas inalámbricos. En la
figura 1.1 se indica de forma gráfica este concepto.
Ceiling
Floor
iReceived Signáis
Time
Comblned 'Resulte
Time
Fig. J.l Tipos de redes inalámbricas [13]
> Al propagarse libremente las señales de radio, éstas pueden ser fácilmente
interceptadas y ver afectada la seguridad de los datos de la red.
Se deben poder conectar varios tipos de dispositivos como computadoras
portátiles, agendas electrónicas, impresoras inalámbricas, etc. a la red sin
importar si el fabricante de estos equipos y el de la infraestructura de la
red son los mismos. Esto implica una total interoperabilidad entre varias
ciases de sistemas y por supuesto e! desarrollo de estándares.
1 El número entre corchetes indica la fuente de la cual se tomó el gráfico, la misma que se
especifica en la bibliografía del presente trabajo. Si no se tiene presente este número, significa que
el gráfico fue creado por el autor.
> La cobertura cambia de sentido en la tecnología inalámbrica. En el caso de
medios guiados se asegura la cobertura en un sitio colocando un punto de
red, llevando físicamente el cable hasta el punto. En las redes inalámbricas
la cobertura dependerá de las características de los equipos y de la
arquitectura del lugar. La única forma de asegurarse que hay cobertura en
un lugar es realizar pruebas y verificar que se tiene una adecuada potencia
de la señal.
Ahora que se tiene presente las diferentes implicaciones del uso de la tecnología
inalámbrica, se debe aclarar los tipos de redes inalámbricas y sus alcances.
1.1.2. TIPOS DE REDES INALÁMBRICAS
Existen distintos tipos de redes inalámbricas para diferentes campos de aplicación;
generalmente son categorizadas de la siguiente manera^ [2]:
> VWVAN = Wireiess Wide Área Networks, Recles Inalámbricas de Área
Extendida.
> WMAN = Wireiess Metropolitan Área Networks, Redes Inalámbricas de
Área Metropolitana.
> WLAN = Wireiess Local Área Networks, Redes Inalámbricas de Área Local.
> WPAN = Wireiess Personal Área Networks, Redes Inalámbricas de Área
Personal,
En la figura 1.2 se muestra este esquema de clasificación de las redes
inalámbricas.
(Wide Área Network)
MAN(Metropolitan Área Network)
(Local Área Metwork)
PAN(Personal Área
Network)
Fig. 1.2 Tipos de redes inalámbricas [2]
1.1.2.1. WWAN, Redes Inalámbricas de Área Extendida
Son redes inalámbricas con un área de cobertura extensa que puede abarcar todo
un país. Un ejemplo de este tipo son las redes de radio utilizadas para
comunicación celular en ambientes urbanos con tecnologías como CDPD (Celular
Digital Packet Data) y GSM (Global System for Mobile Communications). Estas
redes tienen velocidades entre los 10 Kbps y los 300 Kbps.
Fig. J.3 Red Celular
1.1.2.2. WMAN, Redes Inalámbricas de Área Metropolitana
Tienen como objetivo cubrir ambientes urbanos. Generalmente se utilizan para
proveer de enlace de última milla en las ciudades para evitar el tendido de cable.
Ejemplo de este tipo de red es LMDS (Local Muttipoint Distríbution Sen/Ice).
Llegan a velocidades de hasta 22 Mbps,
Fig. J. 4 Red LMDS
1.1.2.3. WLAN, Redes Inalámbricas de Área Local
Cubren áreas locales como edificios, oficinas, conectando las computadoras de
los usuarios que tienen tarjetas de radio con antenas adecuadas para el manejo
de las señales. El estándar más difundido para redes LAN inalámbricas es el
IEEE 802.11. Actualmente las WLAN llegan incluso a los 108 Mbps.
Fig. J.5 Red LAN inalámbrica
1.1.2.4. WPAN, Redes Inalámbricas de Área Personal
Se refieren a la interconexión de sistemas de una computadora utilizando
sistemas de radio de corto alcance. El más importante desarrollo en WPAN es el
Bluetooth que permite la conexión inalámbrica de monitores, teclados, escáneres
y cualquier periférico sin la necesidad de llenar de cables el sitio de trabajo. Las
WPAN's llegan a velocidades de 1 Mbps.
Fig.1.6 Red WPAN
1.1.3. VENTAJAS Y DESVENTAJAS DE LAS REDES INALÁMBRICAS
Las redes inalámbricas proveen grandes ventajas con respecto a las redes
cableadas, sin embargo esta tecnología también presenta ciertas limitaciones
que deben ser consideradas. [3]
1.1.3.1. VENTAJAS
> La movilidad que ofrece a los usuarios es la razón principal de ser de las
® redes inalámbricas, la libertad de ir a cualquier sitio con una portátil y
simplemente encenderla y estar conectado a Internet es muy apreciada.
Además existen redes inalámbricas en lugares públicos como aeropuertos,
restaurantes, bibliotecas donde se puede permanecer en línea gracias a
una red inalámbrica.
> Ya no se requiere la instalación de un cableado para conectar las
computadoras a la red. Esto permite tener bajos costos de mantenimiento y
migración a otro sitio físico.
7
> Son una excelente opción en el caso de instalaciones temporales, ya que
permiten interconectar diferentes dispositivos en tiempos record, sin mayor
demora.
> Los cambios de topología son transparentes y se puede manejar redes
pequeñas y grandes de igual forma.
1.1.3.2. DESVENTAJAS
> Su baja velocidad de transmisión ha sido siempre su principal desventaja.
Como las redes inalámbricas se iniciaron a 11 Mbps los usuarios no se
veían tan atraídos ya que tranquilamente podían tener Fast Ethernet a 100
Mbps en un lugar fijo. Sin embargo esto está cambiando con la aparición
de nuevos estándares que van incrementando la velocidad. Hoy en día
prácticamente la baja velocidad no es una desventaja pues se puede
encontrar equipo inalámbrico que provee una velocidad de hasta 108 Mbps.
> Los altos costos de los equipos. Por la inversión que se debía realizar
muchas empresas no se animaban a ins.talar una infraestructura
inalámbrica en sus instalaciones. Pero en los momentos actuales gracias a
los avances de la tecnología los fabricantes están desarrollando equipos a
menores costos y muy pronto será común tener una red inalámbrica casera
en el hogar.
> La seguridad es un miedo permanente de quienes utilizan redes
inalámbricas. Es verdad que existe una inseguridad inherente con el uso
de esta tecnología, sin embargo se han desarrollado mecanismos robustos
que pueden garantizar que un usuario se sienta tan seguro como si
estuviera en la red cableada tradicional.
> La incompatibilidad de equipos de diferentes fabricantes es un hecho al
momento de implementar una WLAN. Para solucionar esto existen tabías
de los fabricantes que indican con qué equipos del mercado pueden
trabajar, además, siempre se están actualizando los drivers y el firmware1
de los equipos para permitir implementar mejoras y solucionar problemas
de compatibilidad.
1.2. HISTORIA Y EVOLUCIÓN DE LAS REDES INALÁMBRICAS
El desarrollo de las redes inalámbricas se remonta a los logros del científico
italiano Guillermo Marconi que basándose en los trabajos previos de Hertz y con
gran inventiva patentó el telégrafo inalámbrico en 1897, en Inglaterra.
Su invento fue el desarrollo de un siglo de investigación científica y solucionó la
necesidad de comunicación a grandes distancias. El éxito del telégrafo
inalámbrico fue tal que en 1903 funda la Marconi's Wireíess Telegraph Company,
Ltd, la cual mantuvo un servicio de noticias entre Europa^ y los Estados Unidos. Se
puede decir que nace la primera empresa de tecnología inalámbrica de la historia
[4]-
Ya en nuestros tiempos, en 1990 Motorola desarrolla uno de los primeros
sistemas de redes inalámbricas comerciales con su producto Altair funcionando a
una frecuencia de 1.8 Ghz.
Pero para empezar el verdadero desarrollo de la tecnología se debía superar
varios problemas como los altos costos de los equipos, bajas velocidades de
transmisión y licencias para el uso del espectro radioeléctrico. Solucionados estos
problemas los fabricantes verían una verdadera oportunidad de negocio.
Con la liberación de la bandas ISM (Industrial, Científica y Medica) se produce el
impulso que los fabricantes requerían para invertir en el desarrollo de esta
tecnología. Es así que aparecen esfuerzos de variqs fabricantes lo que lleva
1 Microcódigo con ef que trabajan ios equipos
finalmente a que el IEEE (Institute of Eléctrica! and Electronics Engineers) inicie
en 1990 el proyecto del estándar 802.11 para redes inalámbricas.
Es en junio de 1997 que el estándar IEEE 802.11 se publica describiendo la capa
de Control de Acceso al Medio (MAC) y la capa física (PHY) para conectividad
inalámbrica para estaciones fijas, portables y móviles dentro de un área local.
El éxito del IEEE fue el crear un estándar base que puede albergar múltiples tipos
de codificación física, frecuencias y aplicaciones, generando así un modelo a
seguir por todos los fabricantes. Las velocidades originales del 802.11 eran de 1 y
2 Mbps a una frecuencia de 2,4 Ghz. Pero a finales de 1999 se publican 2
suplementos al estándar que son el 802.11a y el 802.11b que incrementan las
opciones de velocidad.
El 802.11 b extiende la velocidad hasta 11 Mbps a la misma frecuencia de 2.4
Ghz, en cambio el 802.11a extiende la velocidad hasta 54 Mbps pero a una
frecuencia de 5 Ghz.
Pero el desarrollo de la tecnología continua y la necesidad de mayores
velocidades lleva al desarrollo del estándar 802.11g publicado en junio del 2003
que define la operación hasta 54 Mbps pero a la frecuencia de 2.4 Ghz ofreciendo
compatibilidad con802.11b.
Finalmente se encuentra en desarrollo el estándar 802.11 i, que pretende otorgar a
ios estándares 802.11 a, b y g características robustas de seguridad. Esto implica
compatibilidad con e! estándar 802.1x y total integración con AES (Advanced
Encryption Standard).
Casi en paralelo al IEEE, la ETSI (European Telecommunications Standards
Instituto) desarrolló su estándar HIPERLAN (High Performance Radio LAN) para
redes inalámbricas) publicándolo en 1996. HIPERLAN especifica su operación a
5 Ghz con velocidades sobre los 20 Mbps. Luego se desarrolla el HIPERLAN/2
para operar en la banda de los 5 Ghz con velocidad de 54 Mbps. Se diseña para
10
llevar celdas ATM1, paquetes IP y voz digital, para lo cual provee calidad de
servicio (QoS) y garantía de ancho de banda.
El uso de estos estándares HIPERLAN no se ha popularizado tanto como los
estándares IEEE 802.11
1.3. TOPOLOGÍAS DE LAS REDES INALÁMBRICAS
Las redes LAN inalámbricas se construyen utilizando dos topologías básicas, la
una se conoce como administrada o de infraestructura y la otra como no
administrada o "ac//?oc" [5].
1.3.1. DESCRIPCIÓN GENERAL DEL FUNCIONAMIENTO DE LA
TOPOLOGÍA DE INFRAESTRUCTURA
En la topología de infraestructura, se tiene una comunipación entre las estaciones
inalámbricas mediante un concentrador inalámbrico llamado Punto de Acceso o
Access Point El Access Point (AP) también es el encargado de unir el mundo
cableado con el inalámbrico y sirve como controladpr central de la red LAN
inalámbrica, coordinando la transmisión y recepción de múltiples dispositivos
inalámbricos dentro de un área de cobertura específica. Si el área es extensa se
utilizan varios puntos de acceso para cubrirla totalmente. En la figura 1,7 se
muestra un ejemplo de esta topología.
El dispositivo que desea conectarse se conoce como ''estación móvil" y primero
debe identificar los puntos de acceso y las redes disponibles. Este proceso se
lleva a cabo mediante señalización de los puntos de acceso. La estación elige
una red entre las que están disponibles e inicia el proceso de autenticación.
Luego de comprobarse la identidad de los participantes comienza el proceso de
asociación.
1 Asynchronous Transfer Mode
11
BcistÍngLftN_
Infrastructure MudeNetwork
Ffg. L7 Red de infraestructura [11]
La asociación permite que el punto de acceso y la estación intercambien
información sobre el tipo de enlace para ponerse de acuerdo en los parámetros
de comunicación que van a utilizar. Finalmente la estación puede transmitir o
recibir tramas en la red después de que haya finalizado la asociación.
1.3.2. DESCRIPCIÓN GENERAL
TOPOLOGÍA AD-HOC
DEL FUNCIONAMIENTO DE LA
En la topología ad hoc, no se requiere un punto de acceso ni un control central,
sino que más bien los propios dispositivos inalámbricos crean la red LAN
enviándose mensajes directamente entre sí.
Un ejemplo práctico del uso de esta tecnología es puando varios usuarios se
reúnen en un cuarto no equipado con puntos de red o no se tiene cobertura de un
punto de acceso y requieren intercambiar información. (En la figura 1.8 se muestra
un ejemplo de esta topología.
12
En la modalidad Ad Hoc sólo hay dispositivos inalámbricos presentes, por lo que
la señalización debe ser controlada por las estaciones. :
Fig. l.SRedadhoc
1.4. ESTUDIO DEL ESTÁNDAR DEEE 802.11
Las principales ventajas de un estándar son:
> Incentiva la producción masiva de equipos al existir un patrón establecido,
disminuyendo así los costos.
> Garantiza la interoperabilidad entre los distintos fabricantes.
Sin duda alguna el estándar 802.11 se ha consolidado en el campo de las redes
LAN inalámbricas, siendo el más utilizado en hogares, en la pequeña y mediana
empresa, en grandes corporaciones y llegando incluso a implementaciones
públicas en hoteles, aeropuertos, cafeterías, universidades, bibliotecas, etc. Por
esto es importante entender los principios de funcionamiento y el alcance del
estándar IEEE 802.11 [6].
13
1.4.1. ALCANCE DEL ESTÁNDAR IEEE 802.11
El estándar define la operación inalámbrica para la conexión de estaciones fijas,
portátiles y móviles dentro de un área local. Para estp especifica la capa física
PHY y la capa de control de acceso al medio MAC. Por tanto IEEE 802.11 define
la arquitectura ha utilizarse, su pila de protocolos, las técnicas de transmisión de
radio utilizadas en la capa física, el protocolo de subcapa MAC, la estructura de
las tramas y los tipos de servicios.
1.4.1.1. COMPONENTES Y TOPOLOGÍAS DEL IEEE 802.11
El IEEE admite 2 topologías: de infraestructura y ad /?pc, que ya fueron tratadas
en el punto 1.3. El estándar define el BSS Grupo de Servicios Básicos (Basic Set
Service) que es un conjunto de estaciones que coordina su acceso al medio
mediante el mismo procedimiento.
El Set Service se identifica de otro por su SSlD (Set Service Identifier), que es
como el nombre o dominio de la WLAN. El área que cubre el BSS se llama BSA
Área de servicios Básicos (Basic Service Área). Si se tiene un único BSS en el
que todos sus dispositivos son inalámbricos se tiene la topología Ad hoc o IBSS,
un BSS independiente.
Para la topología de infraestructura el estándar pupde conectar varios BSS
mediante un DS Sistema de Distribución (Distríbution ^ystem), con lo que forma
un ESS Grupo de Servicios Extendidos.
Cada BSS tiene un Punto de Acceso que permite ingresar al DS. Así en el ESS
se puede acceder a la red cableada e incluso al Internet a través de un portal1
como lo indica la figura 1.9.
1 Dispositivo de acceso a Internet
14
Fig* L9 ESS
1.4.2. PILADEPROTOCOLOSDE802.il
En la figura 1.10 se muestra una vista genera! de la ubicación 802.11 en !a pila de
protocolos. Se tiene como base ia capa física que equivale a la descrita en el
modelo OSI, ésta especifica las diferentes técnicas de transmisión permitidas.
Capas Superiores
LLC
Subcapa MAC
Infrarrojos FHSS DSSSOFDM
802.11a
HR
DSSS
OFDM
802.11g
> 802.11
Fig. LIO Ubicación de 802Jlen la Pila de Protocolos [6]
Luego se tiene a la subcapa MAC que define la forma en que se asigna et canal a
los participantes. Finalmente se tiene las capas superiores que no son parte del
802.11 como la capa LLC.
1.4.3. CAPA FÍSICA DE 802.11
En la capa física se describen 6 técnicas de transmisión de radio, tres fueron
introducidas en el estándar 802.11 original en 1997, éstas son Infrarrojos, FHSS
15
(Frequency Hopping Spread Spectum) y DSSS (Direct Sequence Spread
Spectum). En 1999 se introducen 2 nuevas técnicas paj-a aprovechar un ancho de
banda mayor, OFDM (Orthogonal Frequency DMsioq Multiplexing) y HRDSSS
(High Rate - Direct Sequence Spread Spectrum).
La última técnica se publica en el 2001 y es una variación de OFDM en una
frecuencia diferente. A continuación se realiza una breve descripción de estas
técnicas.
1.4.3.1. Infrarrojos
Es una técnica de transmisión difusa con velocidades de 1 y 2 Mbps, con una
longitud de onda de 0.85 a 0.95 mieras. Para 1 Mbps se utilizan palabras de 4 bits
a 16 bits que se codifican con el código de Gray1, esto genera palabras de 16 bits
con quince Os y un 1, Para el caso de 2 Mbps se toman palabras de 2 bits y se
codifican a 4 bits con tres Os y un 1.
Este tipo de transmisión inalámbrica no se ha popularizado debido a que requiere
tener línea de vista entre los sistemas pues no puede atravesar los objetos y a su
pequeño ancho de banda.
1.4.3.2. FHSS
En la técnica de espectro disperso con salto de frecijencia (Frequency Hopping
Spread Spectrum), la información se modula con un portador de señales que salta
entre frecuencias diferentes en una secuencia específica, para esto utiliza un
generador de números pseudoaleatorios para cambiar a un canal de transmisión,
Se tienen en total 72 canales con un ancho de f^anda de 1 Mhz que se
encuentran en la banda ISM de 2.4 Ghz. El tiempp que una estación ocupa
1 Codificación con el menor número de transiciones posibles
16
determinado canal de frecuencia puede variar pero siempre debe ser menor a 400
ms. Define velocidades de 1 y 2 Mbps.
Lo que se persigue con los saltos aleatorios de frecuencia es asignar de forma
justa acceso a la banda ISM, con esto se logra además cierto nivel de seguridad,
ya que no se sabe la frecuencia y el tiempo de permanencia en cada canal por lo
que no se podrá escuchar ía transmisión.
Por el salto aleatorio de frecuencias, FHSS es resistente a la interferencia,
especialmente a la de otros equipos eléctricos, sin embargo su desventaja es su
poco ancho de banda. Este esquema se utiliza en la tecnología Bluetooth.
1.4.3.3. DSSS
La técnica de espectro directo de secuencia expandida (Direct Sequence Spread
Spectrum) utiliza 11 chips, que son bits de pequeño tiempo de duración para
representar 1 bit utilizando la secuencia de Barker1. Luego se aplica una
modulación por desplazamiento de fase BPSK2 y DQPSK3 a 1 Mbaudio4 y
transmite 1 bit por baudio en el caso de velocidad de 1 Mbps y a 2 bits por baudio
cuando la velocidad es de 2 Mbps. Si uno o más bits se corrompen durante la
transmisión, el dato original puede ser recuperado gracias a la redundancia en la
transmisión lograda con los chips.
1.4.3.4. OFDM 802.11a
La Multiplexación por División de Frecuencias Ortogonales OFDM (Orthogonal
Frequency División Multiplexing) se diseñó para proveer alta velocidad de
transmisión llegando hasta 54 Mbps.
1 Codificación de estados con transiciones mínimas
2 Modulación de fase con 2 estados
3 Modulación de fase de 4 estados en cuadratura
4 Número de símbolos por segundo
17
Funciona en la banda ISM de los 5 Ghz, en 52 frecuencias de las cuales 48 son
para datos y 4 para sincronización, opera mediante la división de la señal de radio
en varias subportadoras ortogonales que son transmitidas simultáneamente a•».
diferentes frecuencias al receptor. Esto reduce el crosstalk o interferencia en las
transmisiones.
1.4.3.5. HR-DSSS
La técnica de Espectro Disperso de Secuencia Directa de alta velocidad HR-
DSSS (High Rate - Direct Sequence Spread Spectrum) utiliza 11 millones de
chip/seg para alcanzar la velocidad de 11 Mbps a la frecuencia de 2.4 Ghz
especificada en el estándar 802.11 b. Sin embargo permite adaptarse de acuerdo
al medio a velocidades menores de 5,5, 2 y 1 Mbps. Ppra llegar a la velocidad de
5.5 y 11 Mbps se aplica una secuencia de 1.375 Mbaudios con 4 y 8 bits por
baudio respectivamente utilizando códigos de Walsh/Hadamard1.
1.4.3.6. OFDM 802.11g
Esta técnica es similar a OFDM 802.11a, pero difiere en la banda utilizada, ya que
funciona en los 2.4 Ghz con la misma funcionalidad OFDM pero en una banda
más angosta.
1.4.4. CAPA DE ACCESO AL MEDIO 802.11
El problema de acceso al medio es más complicado en redes inalámbricas, en
Ethernet por ejemplo, una estación espera a que el medio esté libre para
transmitir, y si no se escuchan colisiones dentro de los primeros 64 bytes, se
puede asegurar que los datos fueron entregados. Esto no se aplica en los
sistemas inalámbricos. Se puede tener el problema de la estación oculta y
expuesta. En el gráfico 1.11 se muestra el problema de la estación oculta, C
1 Codificación por secuencias ortogonales.
18
transmite a la estación B, si A detecta ei canal no escuchará nada y concluirá
equivocadamente que puede transmitir sin problema a B.
Alcancedel radío
deC
CC está
transmitiendo
A
~ig. LU Estación oculta [6]
Ahora por el contrario, en la figura 1.12 se muestra el problema de la estación
expuesta, B desea transmitir a C, escucha el canal, pero al escuchar ia
transmisión de A hacia una estación D, concluye equivocadamente que C está
ocupada.
Alcancede] radío
dé A
AA está
transmitiendo
Jíjg. i,12 Estación expuesta [6]
Además muchos sistemas inalámbricos son semidupiex por lo que no pueden
transmitir y escuchar ráfagas de ruido al mismo tiempo en una sola frecuencia.
Para solucionar estos problemas 802.11 define 2 modos de funcionamiento: PCF
(Función de Coordinación puntual) y DCF (Función de Coordinación Distribuida).
19
1.4.4.1. Función de Coordinación Distribuida DCF
Cuando se emplea DCF no se tiene un control central, por lo cual es utilizado en
redes Ad Hoc; DCF utiliza el protocolo CSMA/CA acceso múltiple con detección
de portadora con prevención de colisiones.
CSMA/CA trabaja tanto en la detección del cana! físico como del canal virtual. En
el primer caso una estación que desea transmitir escucha el canal, si está libre
transmite. Mientras transmite no escucha el canal y envía su trama completa, que
podría perderse por interferencia.
Si el canal está ocupado, espera hasta que esté libre. Si se presenta una colisión
las estaciones involucradas esperan un tiempo aleatorio con un algoritmo de
retroceso exponencial binario que es el mismo de Eth'ernet y vuelve a intentarlo
más tarde.
El otro modo de CSMA/CA utiliza la detección en el canal virtual. A continuación
se muestra un ejemplo de esto en la figura 1.13. Se tienen 4 estaciones
involucradas, A desea transmitir a B, C es una estación dentro del rango de A, y D
es una estación dentro del alcance de B pero no de A. A decide enviar datos a B
para lo cual le envía una trama RTS (Request to Send).
Cuando B recibe la trama decide aceptar o negar la petición, si acepta envía una
trama CTS (Olear to Send) hacia A. Al recibir A la trama CTS envía los datos y
comienza su temporizador de ACK acknolewdge. B responde con otra trama ACK
si los datos fueron recibidos. Si el temporizador de AQK termina antes de que el
ACK regrese todo el protocolo se ejecuta de nuevo.
Ahora qué ocurre con las estaciones C y D. Como C está dentro de! rango de A
podría recibir también la trama RTS de A, cuando ocurre esto C se da cuenta de
que se va a iniciar una transmisión y para evitar colisiones no transmite,
imponiendo un tiempo de espera de acuerdo a la información del RTS recibido.
20
RTS i 1 DatOSA -
[ GTS
NAV
NAV
Tiempo
Fig. U 3 CSMA/CA [6]
Este tiempo se representa por NAV (vector de asignación de red). Ahora D, que
no escucha el RTS enviado por A, pero si el CTS enviado por B, también impone
un NAV para si misma evitando transmitir y colisionar con los datos de A.
1.4.4.2. PCF Función de Coordinación puntual
En el modo PCF se tiene un control central de !a estación base sobre toda su
celda. La estación base realiza un sondeo a las estaciones para averiguar si
tienen datos que transmitir. Como la estación base asigna los permisos de
transmisión se evitan las colisiones.
El estándar define el mecanismo de sondeo pero no los periodos de sondeo y el
orden del mismo. Las redes inalámbricas de infraestructura utilizan PCF aunque
también pueden utilizar DCF y una combinación de las dos. Para el sondeo la
estación base transmite una trama beacon de forma periódica, la cual contiene
parámetros del sistema como secuencias de saltos (para FHSS), sincronismo de
reloj, ei SSiD de la red, etc.
También se invita a nuevas estaciones a ingresar a la red, luego de lo cual se le
asigna cierta frecuencia de sondeo otorgando una fracción del ancho de banda, lo
cual permite establecer garantías de calidad de servicio'.
21
1.4.5. ESTRUCTURA DE LA TRAMA 802.11
Se definen 3 tipos de tramas:
> Administración.- Sirven para establecer asoqiación y desasociación de
estaciones, para autenticación y negociación de parámetros.
> Control,- Intercambio de datos de control
> Datos»- Transportan los datos a través de la recj
En la figura 1,14 se detalla fa estructura de la trama de datos-. El primer campo es
el de control de trama que a la vez se subdivide en 11 campos como lo indica la
tabla 1.1.
El campo siguiente es e! de duración-, que indica cuando tiempo ocupará el canal
la trama y su confirmación de recepción. Mediante este campo se maneja el
mecanismo de NAV con tramas de control.
Luego vienen 4 campos de direcciones físicas que especifican la estación origen,
el punto de acceso origen, el punto de acceso destino y la estación destino.
6 6 6 6 0-2312 4 (bytes)Control
Suma de
verificación
1 1 1 1 1 1
Versión Tipo SubtipoA
DS
De
DSMF
Re-
transmisiónMás W O
Fig.JJ4 Trama 802J i[6]
22
Después de los tres campos de direcciones, de manera intercalada se encuentra
ei campo secuencia que permite numerar los fragmentos, consta de 16 bits, 12 de
los cuales identifican la trama y los 4 restantes el fragmento.
Versión Versión del protocolo
Tipo de trama, administración, control o de datos
Subtipo RTS, CTS, etc.
Hacia el DS Trama dirigida al Sistema de Distribución
Desde un DS Trama desde el Sistema de Distribución
Mas Fragmentos Indica que hay más fragmentos
Retransmisión Marca que es una trama de retransmisión
Pone al receptor en estado de hibernación.
Indica que el emisor tiene más tramas que enviar
Indica que en el cuerpo de la trama S£ ha utilizado WEP (wired
equivalency protocol).
Indica que la secuencia de tramas debe procesarse en orden estricto.
Tabla U Campo control de Trama [6]
El campo de datos contiene ía carga útil y puede llegar hasta los 2312 bytes [6].
Finalmente se tiene el campo de Suma de verificapión para comprobar una
correcta recepción de los datos.
Las tramas de administración tienen un formato parecjdo a las tramas de datos,
se diferencian en que no tiene una de las direcciones q"e punto de acceso ya que
estas tramas tienen sentido local dentro de la celda.
Las tramas de control son más pequeñas pues no tienen los campos de datos y
de secuencia. En este tipo de tramas lo importante es saber el subtipo de trama,
tales como CTS, RTS, etc.
23
1.4.6. SERVICIOS DE 802.11
El estándar define 9 servicios que la red LAN inalámbrica debe ofrecer, éstos se
agrupan en dos categorías, servicios de distribución y servicios de estación.i
1.4.6.1. Servicios de distribución
Son proporcionados por el AP y se encargan de la administración de estaciones
dentro de la celda y su comunicación con estaciones d,e otras celdas. Se tienen 5
servicios de distribución que son los siguientes:
> Asociación.- Sirve para establecer la conexión entre el AP y las
estaciones inalámbricas. Esto ocurre cuando una nueva estación ingresa a
la celda o cuando se enciende la estación, Rara empezar, anuncia su
identidad y sus características como velocidades de transmisión
soportadas, etc., así el AP puede admitir o denegar la asociación.
> Disociación.- Se produce cuando se rompe la conexión con el AP, debido
a que la estación salió de la celda o a que fue apagada,
> Reasociación,- Se tiene cuando una estación cambia de una celda a otra,
se asocia a otra estación base.
> Distribución,- Sirve para que le AP sepa donde enviar las tramas que
arriban. Si son locales se envían por el aire y si ?on externas se envían por
el cable.
> Integración.- Si las tramas deben ser enviadas por una red no 802.11, el
servicio de integración maneja el direccionami^nto y el formato para la
traducción de 802.11 al estándar requerido.
24
1.4.6.2. Servicios de Estación
Se refieren a servicios solamente dentro de la celda, y son los siguientes:
> Autenticación.- Solamente se permite e! acceso a estaciones autorizadas,
por lo cual, primero deben autenticarse. El estándar 802.11 especifica el
proceso de autenticación con el protocolo WEP que será descrito con
detalle en el siguiente capítulo.
> Desautenticación.- Cuando una estación abandona la red se desautentica
y luego se desasocia.
> Privacidad.- Este servicio permite privacidad de los datos que viajan en la
red, para esto se utiliza esquemas de encripción.
> Entrega de datos.- Es el servicio esencial de transmisión y recepción de
¡os datos.
1.4.7. DESCRIPCIÓN DEL ESTÁNDAR IEEE 802.11b
El 802.11 fue la base fundamental de los desarrollas de los fabricantes para
productos de redes LAN inalámbricas. Sin embargcj solo se especificaba la
operación de 1 y 2 Mbps que con el paso de los años se volvió insuficiente.
Es por ello que en 1999 el IEEE libera el estándar 802.11 b que extiende la
velocidad hasta 11 Mbps a una frecuencia de 2.4 Ghz, aunque también permite el
funcionamiento a 5.5, 2 y 1 Mbps.
Para que 802.11 b llegue a la velocidad de 11 Mbps se desarrolló una nueva capa
física para adherirla al estándar, ésta es HR- DSSS (High Rate - Direct
Sequence Spread Spectrum) cuyas características fueron explicadas
anteriormente.
25
Con este aumento de velocidad los fabricantes se lanzaron al desarrollo y
fabricación de estos equipos, por lo cual el 802.11 b es (loy en día el estándar más
difundido en la industria.
1.4.8. DESCRIPCIÓN DEL ESTÁNDAR IEEE 802.11a
El estándar 802.11a se publica también en 1999 y extiende la velocidad hasta
54 Mbps pero a una frecuencia de 5 Ghz. Eso se 'logra utilizando la técnica
OFDM (Orthogonal Frequency División Multiplexing) descrita anteriormente.
OFDM es más robusta que DSSS y permite llegar a-la velocidad de 54 Mbps,
además soporta las velocidades de 6, 9, 12, 18, 24,36 y 48 Mbps.
Su difusión no es tanta como 802.11b ya que los equipos requieren tecnología
más cara y las necesidades de muchas empresas no sobrepasan los 11 Mbps de
802.11 b. Sin embargo los precios de equipos 802.11a ^iguen bajando y llegará e!
momento en que la diferencia con 802.11 b no sea tan significativa,
1.4.9. DESCRIPCIÓN DEL ESTÁNDAR IEEE 802.11g
Es el último desarrollo del IEEE, el borrador del 802.11g se publicó en el 2001 y
fue ratificado en junio del 2003. Especifica el funcionamiento a 54 Mbps pero a la
misma frecuencia de 802.11b de 2,4 Ghz, esto para establecer compatibilidad
entre usuarios anteriores con 802.11 b y usuarios nuevos con 802.11g.
La técnica de capa física utilizada es similar a OFDM cié 802.11a, pero difiere en
la banda utilizada, ya que funciona en los 2.4 Ghz, es QFDM en banda angosta.
Actualmente estos equipos están entrando en el mercado con bastante fuerza ya
que permiten tener 54 Mbps con 802.11g para usuarios que requieran alta tasa
de transmisión y 11 Mbps para usuarios que no requieran gran performance o que
ya tengan instaladas tarjetas 802.11 bt En la tabla 1.2 se muestra un cuadro
comparativo de estas tecnologías.
26
Comparación de los estándares tecnológicos para redes LAN inalámbricas (WLAN)
Estándar 802.11a802.1 ib (base de
usuarios más grande)802.11g
Máxima Velocidad de
datos54 Mbps 11 Mbps 54 Mbps
Radiofrecuencia 5Ghz 2.4 Ghz 2.4 Ghz
Distancia 25 a 75 pies Más de 150 pies 100a 150 pies
Compatibilidad con
otros estándares
WLAN
Incompatible con
802,11bo802.11g802.11 g 802.1 Ib
Problemas de
Interferencia
Teléfonos
inalámbricos a 5 Ghz
Hornos microondas,
teléfonos inalámbricos
a 2.4 Ghz, Biuetooth
Hornos microondas,
teléfonos inalámbricos
a 2.4 Ghz
Tabla J.2 Cuadro comparativo de las tecnologías de redes inalámbricas de 802.11
1.4.10. APLICACIONES DE LAS REDES 802.11
En la actualidad las redes inalámbricas casi se encuentran en todas partes, en
especial las redes 802.11 se han convertido en un cpmplemento indispensable
para las redes cableadas tradicionales. Los campos de aplicación de las redes
802,11 son muy diversos y se popularizan cada día más. Gracias a las redes
inalámbricas, cada día se acerca más la computación ubicuota, donde la
tecnología prácticamente rodea todo el entorno y pasa a formar una parte
indispensable de la vida cotidiana. A continuación se describen los escenarios
más comunes de aplicación de las redes inalámbricas.
1.4.10.1. Redes inalámbricas públicas
Para un cliente es muy importante saber que puede permanecer conectado
mientras se encuentra en varios espacios públicos. Esto lleva a las empresas a
ofrecer sen/icios de conexión inalámbrica gratuita para los usuarios que utilicen
27
sus instalaciones. En la figura 1.15 se muestran los escenarios más comunes
para redes inalámbricas públicas.
> Muchos hoteles ofrecen a sus huéspedes la capacidad de conectarse a la
. red inalámbrica con sus equipos portátiles, esto es muy atrayente para
personas de negocios que realizan viajes de trabajo o simplemente
vacacionistas que tienen una PDA1 y desean saber como están las cosas
en el mundo.
> En restaurantes y cafeterías donde los usuarios buscan un lugar acogedor
para trabajar.
> En muchos aeropuertos se está implementando redes inalámbricas en las
zonas de espera de pasajeros. Esto con la finalidad de que las personas
que esperan un vuelo puedan aprovechar mejor su tiempo.
> En bibliotecas y universidades es muy práctico tener acceso a la red desde
cualquier sitio. Los estudiantes y profesores requieren realizar consultas
rápidas, por ejemplo, acceder a bases de datos de información referente a
proyectos o simplemente acceder a Internet.
Fig. U 5 Aplicaciones públicas de las redes inalámbricas de 802.11
1 Asistente Digital Personal
2 www.hp.com
28
1.4.10.2. Complemento de redes cableadas
Éste es uno de los campos de aplicación más difundido de las redes 802.11. En
las empresas se tienen lugares como salas de reuniones, bodegas, áreas
industriales donde el cableado no está disponible o donde simplemente no es
sencilla la instalación de puntos de red.
Por ejemplo en la figura 1.16 se muestra la conexión de usuarios WLAN con
servidores, impresoras y otros elementos de la red cableada.
Fig. 1.16 Redes 802.11 como complemento de las redes cableadas tradicionales
En estos casos las redes 802.11 son el complemento perfecto para la red
cableada tradicional, ofreciendo conectividad en esos lugares fácilmente. Así el
personal puede movilizarse de su oficina a esos sitios con cobertura inalámbrica y
mantenerse conectado con la misma funcionalidad de la red cableada.
1.4.10.3. Redes temporales
En algunas ocasiones se requiere instalar una red que va a ser utilizada
solamente por una temporada y el resto de tiempo ya no es necesaria, además
se requieren tiempos de instalación rápidos, esto se tiene por ejemplo en
implementación de laboratorios temporales o en instalación de infraestructura dei
comunicaciones para eventos en coliseos, centros de exposiciones, etc.
29
Las redes cableadas no cumplen con estos objetivos. Instalar toda la
infraestructura de cables no es sencillo, se requiere^ de tiempo, materiales y
personal calificado, incrementando los costos de la solución. Además la red
queda en desuso cuando ya no es necesaria.
En cambio al utilizar redes 802.11 se tiene un tiempo rápido de instalación y se
evita gastar dinero en cableado. Además si la red es temporal simplemente se
retiran los puntos de acceso dejando sin cobertura el si^io.
1.4.10.4. Redes Caseras
En la actualidad se está popularizando tener redes inalámbricas en los hogares,
gracias a la reducción de los costos del equipo y a la proliferación de dispositivos
con tarjetas inalámbricas como PDA's, laptops, etc.
Por ejemplo se tiene ei siguiente escenario, el padre de familia llega del trabajo
con su /apfop, los hijos trabajan en la PC del hogar que está conectada a Internet,
y la madre de familia tiene una PDA para organizar sus actividades y obtener
información importante de Internet.
Todos estos dispositivos podrían compartir el acceso a Internet en el hogar s! se
conectan mediante una red inalámbrica que los mantendría con conectividad de
forma flexible.
1.4.10.5. Interconexión de edificios
Otro campo ocupado con éxito por las redes inalámbricas es la interconexión
versátil de edificios, como sucursales de bancos, campus universitarios, etc. Las
redes inalámbricas permiten instalaciones rápidas y económicas, generalmente
son principalmente utilizadas como backup de enlaces oje cable.
30
1.5. RETOS ACTUALES DE LAS REDES LAN INALÁMBRICAS
Como toda nueva tecnología, las redes inalámbricas se enfrentan a nuevos retos
que deben ser superados para convertirse en una solución completa para el
mercado.
Estos retos son verdaderas barreras que los especialistas tratan de derivar
mediante el estudio de nuevas soluciones y estándares para las WLAN. Los
principales retos a los que se enfrentan las WLAN son la seguridad, la movilidad y
la configuración.
1.5.1. RETOS DE SEGURIDAD
La red cableada posee una segundad inherente ya que un atacante necesita
acceder a la red a través de una conexión por cable para realizar su cometido,
esto implica acceso físico a la red que no es sencillo de obtener.
En cambio en las WLAN donde las señales viajan libremente por el aire, los datos
pueden ser fácilmente interceptados. Por ello si la WLAN no provee de
mecanismos de seguridad robustos a sus usuarios no podrían ser utilizadas ya
que constituirían un agujero de seguridad para todo el sistema. En la figura 1.17
se muestra un ejemplo de ataque típico a las redes inalámbricas.
Intruso
Fig. JJ7 Esquema de ataque a una red inalámbrica [1]]
31
Las redes 802.11 proveen varios mecanismos de seguridad, el básico es el del
SSID que los usuarios deben conocer para poder acceder a la red, sin embargo
ios AP envían en tramas de administración la información del SSID, razón por lo
cual esto no es un gran alivio.
En el estándar 802,11 original se incluye WEP que provee autenticación y
encripción mediante claves compartidas de 40 y 128 t?its, el problema es que la
clave es estática y se debe colocar en todos los usuarios de la red.
Finalmente el mecanismo más robusto de seguridad es el definido en el estándar
802.1x del IEEE que será tratado en el siguiente capítulo.
Es precisamente este reto que el presente trabajo pretende enfrentar ofreciendo
mecanismos de seguridad robustos y sencillos de administrar e implementar.
1.5.2. RETOS PARA LOS USUARIOS MÓVILES
Si se tiene una red grande con varios AP para cubrir to(da el área de servicio, una
estación que se desplaza físicamente se desasocia del AP anterior y se asocia a
un nuevo AP, la asociación entre la tarjeta NIC y el AP se debe mantener para
tener conectividad en la red.
Esto implica un problema administrativo complejo PUQS el usuario debe cruzar
límites de subredes o dominios de control administrativo. Si se tiene habilitado
DHCP1 y el usuario cruza un límite de subred, la dirección IP asignada
originalmente a la estación puede dejar de ser adecuadp para la nueva subred.
Si la transición supone cruzar dominios administrativos, es posible que la estación
ya no tenga permiso de acceso a ciertas partes de la red dependiendo del tipo de
usuario que sea.
1 Asignación dinámica de direcciones IP
32
El problema va más allá de acceder a una WLAN empresarial, un usuario puede
conectarse a una red inalámbrica en otra empresa, en sitios públicos e incluso en
su propio hogar.
Por ejemplo un usuario deja su oficina y va a visitar otra compañía, primero al
abandonar su sitio de trabajo se desasocia de la WLAN de su empresa, luego se
dirige al Aeropuerto donde va a tomar el vuelo, pero ep la sala de espera decide
ultimar detalles del trabajo, entonces puede conectarse a esa WLAN pública y
mediante Internet y una VPN1 puede ingresar a la red de su empresa.
Finalmente llega a su destino y la empresa que visita p,uede tener una WLAN a la
que seguramente podrá asociarse como invitado para proveerle acceso a Internet
y no a la intranet de la empresa, con Internet podría nuevamente conectarse vía
VPN a su empresa y empezar la reunión.
Para este ejemplo, la movilidad es una situación que debe pensarse muy
detenidamente. La configuración puede ser un problema para el usuario móvil, ya
que las distintas configuraciones de red pueden supcjner un reto si la estación
inalámbrica del usuario no tiene capacidad para configurarse automáticamente.
1.5.3. RETOS DE CONFIGURACIÓN
En los momentos actuales se tiene un verdadero abapico de soluciones WLAN,
se tienen redes con seguridad, sin seguridad, con autenticación, sin autenticación,
con encripción, sin encripción, etc.
La configuración de una WLAN de una empresa es muy diferente a la
configuración de una WLAN de hogar. La diferencia ^mpieza por el SS1D de la
WLAN y continúa con los parámetros de seguridad utilizados.
1 Redes privadas virtuales
33
Podría ser necesario tener una configuración para el trabajo, donde la red
funciona en modo de infraestructura, y otra configuración para el domicilio, donde
funciona en modo ad hoc. Entonces, sería necesario elegir qué configuración se
va a utilizar en función del sitio donde se encuentre.
Por ello los fabricantes deben proveer mecanismos pap elegir diferentes perfiles
automáticamente dependiendo de donde se encuentre el usuario, de tal forma
que no sea un verdadero dolor de cabeza cambiar la configuración cada vez que
el usuario se mueve de sitio.
34
2. PRINCIPALES MECANISMOS DE SEGURIDAD EN LAS
REDES LAN INALÁMBRICAS
2.1. ASPECTOS GENERALES DE LA SEGURIDAD EN REDES
La seguridad en las redes de datos ha sido uno de los aspectos más estudiados
en los últimos tiempos. Cada día muchas empresas en el mundo son atacadas y
ven afectada su seguridad lo que genera pérdidas económicas y de imagen a las
mismas.
Los ataques son perpetrados por personas con conocimiento medio y alto de los
sistemas, no es necesario ya ser un experto para realizar ataques sencillos. Una
persona con un poco de tiempo, puede encontrar muchas herramientas
disponibles en Internet para provocar muchos dolores de cabeza a los
administradores de las redes corporativas. Además con los continuos estudios y
desarrollos de los sistemas se encuentran nuevas vulnerabilidades, lo que hace
que los sistemas de seguridad no sean estáticos, y por tanto caduquen y deban
ser nuevamente replanteados y actualizados. Por esto un sistema que se
consideraba seguro hace unos 5 años, hoy no lo es, ya que la seguridad es un
proceso continuo de fortalecimiento del sistema.
2.1.1. IMPORTANCIA DE LA SEGURIDAD EN REDES
La seguridad de los sistemas de las empresas es de extrema importancia debido
a los siguientes aspectos [7]:
> La información que poseen es de gran valor para su negocio, por ejemplo
los bancos tienen información sobre la cantidad exacta de dinero que
35
corresponde a cada usuario, y si una persona maliciosa logra cambiar los
datos provocaría una falta de credibilidad terrible en el banco.
> Un ataque puede provocar que una entidad deje de prestar un servicio
debido al colapso del sistema. En el caso de empresas que proveen el
servicio de Internet (ISP1), si su sistema sufre un ataque y dejan sin
servicio a sus usuarios tendrían graves pérdidas económicas y generaría
desconfianza en la misma.
> A la competencia le gustaría mucho conocer la información de la empresa,
saber sus reportes financieros, ventas, cartera de clientes, proyectos, etc.
Por ello de la seguridad depende que se mantengan las ventajas
competitivas sobre las demás empresas.
Por todo esto, el campo de la seguridad en redes ha sido muy estudiado y se han
fundado diferentes organismos encargados de realizar los diferentes estándares y
mecanismos de seguridad, además de estudiar su continua mejora.
2.1.2. HISTORIA DE LA SEGURIDAD EN REDES
La seguridad de las redes es un tema relativamente nuevo [8]. Hace 30 años las
computadoras no se conectaban en red de forma masiva, la tecnología no era
muy difundida y lo que se tenía era acceso a host mediante puertos RS-2322.
Luego con la aparición de las redes de conmutación de paquetes y sobretodo al
uso de protocolos como TCP/IP (Transmission Control Protocol / Internet
Protoco/), los sistemas de red evolucionaron para ser más abiertos y su
tecnología empezó a ser más conocida.
1 Internet Service Provider
2 Puerto de comunicaciones serial de 25 pines
36
Esto trae el problema de que ios datos viajen por diferentes puntos que no están
bajo el control de los clientes, es decir que los datos de las redes seguras, las
LAN's corporativas, viajen a través de redes inseguras, las redes WAN.
Además como la tecnología de redes empezó a ser más estudiada, nueva
información estaba al alcance de los técnicos, originándose la aparición de los
hackers que retan la seguridad de los sistemas y continuamente buscan
vulnerabilidades simplemente por pasatiempo o para fines maliciosos.
Hoy en día las necesidades de comercio electrónico y el crecimiento de
aplicaciones en Internet hacen que se encuentre un compromiso entre el
rendimiento y la seguridad de la red. Por ello aparecen los firewalls1, las VPN's,
las firmas y certificados digitales, y todos los diferentes mecanismos que en
conjunto proveen de seguridad a un sistema completo.
Luego desde 1997 cuando se publica el estándar 802.11 hasta hoy en día la
tecnología de redes inalámbricas ha revolucionado completamente el mercado de
las redes de datos. Con un crecimiento muy grande son la mayor tecnología en
expansión.
Por supuesto esto ha ido de la mano del desarrollo de nuevos sistemas de
seguridad para redes inalámbricas de tal forma que puedan ser utilizadas con
total confianza por las empresas.
2.1.3. FUNDAMENTOS DE LA SEGURIDAD
Un sistema de seguridad para ser completo y eficiente debe ser capaz de proveer
4 premisas básicas de seguridad: autenticación, confidencialidad, integridad y
disponibilidad [9].
1 Dispositivo que divide una red segura de una insegura
37
2.1.3.1. Autenticación
El objetivo de la autenticación es verificar la identidad del usuario, garantizar que
es quien dice ser. No solo es suficiente con que un usuario se identifique, ya que
éste puede estar suplantando la identidad de un usuario autorizado.
Se puede clasificar los métodos de autenticación de acuerdo a las credenciales
que el usuario presenta, así se puede diferenciar aquellos que se basan en datos
conocidos por el usuario (password), los que requieren que el usuario Heve un
dispositivo (token card), y finalmente los métodos biométricos que se basan en
rasgos físicos del usuario (retina del ojo).
2.L3.2. Confidencialidad
La confidencialidad es garantizar la privacidad de la información, solamente los
usuarios autorizados deben ser capaces de leer la información y nadie más. Esto
se logra utilizando métodos de encripción en los datos para que viajen de forma
segura a través de la red.
2.1.33. Integridad
La integridad se refiere a prevenir la alteración no autorizada de la información.
Se debe verificar que los datos no fueron modificados por usuarios no autorizados
o por algún accidente en la transmisión.
Para garantizar la integridad se utilizan los algoritmos de hash, que se aplican al
grupo de datos y retornan un valor único correspondiente a esa combinación de
datos, el valor resultante es el valor de hash y es transmitido junto con la
información, en recepción se compara el valor de hash recibido con el valor de
hash calculado con los datos recibidos.
38
2.1.3.4. Disponibilidad
Es el grado de confiabilidad del sistema, su resistencia a los ataques y su
capacidad de recuperarse rápida y completamente después de éstos. Para
garantizar la disponibilidad de un sistema se deben tomar medidas de seguridad
físicas y técnicas en el sistema, por ejemplo no permitir el acceso de extraños a
los cuartos de equipos, tener enlaces redundantes, etc. Estas medidas deben
estar desarrolladas en la política de seguridad de la compañía, especificando
procedimientos y responsables de las mismas.
2.1.4. AMENAZAS, ATAQUES Y VULNERABILIDADES
Una vez claras las ideas de un sistema seguro, se debe comprender los
diferentes aspectos que se presentan en el mismo. Cuáles son los posibles
ataques, qué amenazas posibles se presentan y las vulnerabilidades que posee.
2.1.4.1. Ataques
Los ataques son las técnicas utilizadas para explotar las debilidades de los
sistemas. Pueden ser Pasivos y Activos.
a) Ataques Pasivos
Son ataques que no realizan una actividad evidente en el sistema, por lo general
se utilizan para obtener información o para realizar tareas previas a un ataque
activo. Son difíciles de detectar por su naturaleza.
Un ejemplo de estos ataques es el de pori scanning, que es un escaneo de
puertos abiertos, por ejemplo en un servidor, para buscar una puerta de entrada
al mismo.
39
b) Ataques Activos
Realizan una actividad evidente en el sistema, son los que verdaderamente crean
desastres y generalmente utilizan la información obtenida o los agujeros creados
por los ataques pasivos. Por ejemplo luego de realizar el ataque pasivo de port
scanning se puede ver los puertos abiertos para luego entrar en el servidor y
realizar un ataque de negación de servicio, que ocurre cuando el servidor se
satura de peticiones falsas.
2.1.4.2. Amenazas
Son todas las posibles situaciones que pueden afectar el normal funcionamiento
del sistema. Se pueden tener amenazas de diversa índole; amenazas técnicas
como proliferación de virus o fallas del sistema y amenazas no controlables como
desastres naturales.
2.1.4.3. Vulnerabilidades
Son todas las debilidades que pueden presentar las redes y sistemas. Se pueden
tener vulnerabilidades de tipo físico como poco control de acceso de personal al
cuarto de equipos, vulnerabilidades en los diseños de software como agujeros de
seguridad, puertas traseras, etc.
2.2. ENCRIPCIÓN, INTEGRIDAD DE MENSAJES Y
CERTIFICADOS DIGITALES
Los diferentes mecanismos de seguridad existentes actualmente en el mercado
se basan en los estándares y protocolos desarrollados por la IEEE y el IETF
principalmente. Estos estándares y protocolos a su vez utilizan los sistemas de
criptografía para el desarrollo de la segundad, por lo cual es necesario tener una
fuerte base sobre el funcionamiento y la implementación de los diferentes
mecanismos de seguridad que provee la criptografía [10].
40
2.2.1. CRIPTOGRAFÍA
La clave para la segundad de la información en la red es la criptografía. La
criptografía es la encargada de estudiar los diferentes métodos de cifrado de
mensajes, puede ser utilizada para implementar mecanismos de autenticación,
integridad y confidencialidad de la información.
La encripción, que es el proceso usado por la criptografía para cifrar los mensajes,
no es reciente, pues la humanidad la ha venido utilizando desde hace 4000 años.
Uno de los primeros métodos de encripción que está documentado es atribuido a
Julio Cesar, que se basaba en la sustitución de las letras de un documento por la
tercera letra que le correspondiese en e! alfabeto. Así la A se convertía en una D,
la B en E, etc.'
La encripción se basa en que el emisor emite un mensaje en claro, que es tratado
mediante un cifrador con la ayuda de una clave, para crear un texto cifrado. Este
texto cifrado, por medio del canal de comunicación establecido, llega al
descifrador que convierte el texto cifrado, apoyándose en otra clave, para obtener
el texto en claro original.
Las dos claves implicadas en el proceso de cifrado/descifrado pueden ser o no
iguales dependiendo del sistema de cifrado utilizado.
La seguridad del sistema de encripción utilizado depende de lo secreta que sea la
clave y de la longitud de la misma, por lo cual conocer el algoritmo de encripción
utilizado no es relevante. Si un método de encripción es dependiente del algoritmo
utilizado, se le considera un algoritmo restrictivo.
Es importante que los algoritmos utilizados no tengan debilidades serias o
explotables, sin embargo todos los algoritmos pueden ser rotos por un método o
por otro, lo importante es que no tenga debilidades inherentes que un atacante
pueda explotar.
41
Ahora los tipos de encripción se pueden clasificar de acuerdo a las claves
involucradas y al tipo de técnica de encripción utilizada.
2.2.U.. Tipos de encripción por la técnica utilizada
Se tiene la encripción de flujo y la encripción por bloques:
a) Encripción de flujo
Estos algoritmos de encripción procesan el texto plano para producir un flujo de
texto cifrado. La figura 2.1 muestra el funcionamiento de la encripción de flujo.
Los algoritmos de este tipo tienen muchas debilidades, la principal es el hecho de
que los patrones en el texto plano se reproducen en el texto cifrado. Para
demostrar esto se puede utilizar el sistema rudimentario de cifrado de la figura 2.2.
Maryhad a líttle lamb.
Fig. 2.1 Encripción de flujo [9]
Á
1
B
2
C
3
D
4
E
5
F
B
G
A
H
B
1
C
J
D
KE
L
F
fvl
G
N
H
0
iP
J
aK
R
L
S
M
T
N
U
0
V
Pwa
X
R
Y
S
zT
Fig, 2.2 Sistema de cifrado simple [9]
Con este sistema se puede cifrar por ejemplo el siguiente mensaje;
Texto Plano: todos para uno y uno para todos
Texto Cifrado: ni4im J1I1 ohi s ohi J1I1 ni4im
42
Los patrones en el texto plano se reflejan en e! texto cifrado. Las palabras y letras
que se repiten en el texto plano se repiten en el texto cifrado. El conocer las
palabras que se repiten hace fácil romper el código.
Otra debilidad de los algoritmos de encripción de flujo es que son vulnerables a
ataques de sustitución, incluso sin necesidad de romper los códigos. En estos
ataques se toma una porción vieja de código y se la inserta en un nuevo mensaje.
Ejemplos de estos algoritmos son Vernam y RC4 (Rivest Cipher4).
b) Encripción por Bloques
Los algoritmos de encripción por bloques se diferencian de los de flujo por que
encriptan y desencriptan la información en bloques de tamaño fijo en lugar de
hacerlo letra por letra. El algoritmo pasa un bloque de información del texto plano
por si, para generar un bloque cifrado.
El bloque cifrado es relativamente más grande que el bloque original de
información, en términos de throughput1, si el bloque cifrado es el doble del
bloque original, implica que el throughput disminuye a la mitad. Otra característica
de los algoritmos de bloque es que no presentan un patrón detectable. En la
figura 2.3 se muestra e! funcionamiento del algoritmo de encripción por bloques.
Nowis the time forall good men to cometo the aid oftheircountry. Mary had aüttle lamb. Its fleecewas white as snow.
uJ8%*hFOV3@Lsf/?hDsdlkf¡83wmlsatFFdss6HAmX2@%hdT43/&xVn@dskY!;agdsFd-!2SKl8jNx%ís34&kip9qE/z2M.uOpO)8*WbK;-rkdye82
Fig. 2.3 Encripción por bloques [9]
1 Datos efectivos transmitido por segundo
43
Ejemplos bien conocidos de este tipo de algoritmo son IDEA (International Data
Encryption Algorithm) y DES (Dafa Encryption Standard).
2.2-.L2. Tipos de encripción por las claves utilizadas
Los algoritmos de encripción pueden utilizar una sola clave para encriptar y
desencriptar la información, o pueden utilizar 2 diferentes claves, una para
encriptar y otra para desencriptar.
a) Encripción Simétrica
Estos algoritmos utilizan una clave secreta o privada que los participantes
comparten para intercambiar los datos encriptados. La misma clave sirve para
encriptar y desencriptar los datos. Este proceso se muestra en la figura 2.4.
Plaintexi
Secret key
Nowisthetime for all
good mentócome to theaid oftheir
country
t\i ypiÍDi2hT83/ySI
;QOZ16tlHz%
M-djb&jTn&uIR
\t^
Nowisthetime for a II
good mentócometo theaid ottneírcountry
Ciphertext
Fig. 2.4 Encripción Simétrica [9]
Plaintext
La fuerza de estos algoritmos depende de la longitud de la clave y de cuan
secreta sea la misma, además los algoritmos de encripción de clave secreta son
relativamente rápidos. Los algoritmos de clave secreta más importantes son: DES,
IDEA, CAST y RC4,
44
aJ)DES
Fue desarrollado por IBM y adoptado por el Gobierno de los Estados Unidos
como su estándar oficial para información no secreta. DES (Date Encryption
Standard), fue ampliamente adoptado por la industria como producto de seguridad.
DES consiste de un algoritmo y de una clave. La clave es una secuencia de 8
bytes, resultando una clave de 64 bits, pero como cada byte posee paridad, la
clave efectiva se reduce a 56 bits.
La clave original de DES era de 128 bits pero la NSA, la agencia de seguridad
nacional de los Estados Unidos no lo permitió e hizo que IBM la reduzca a 56,
esto para que los mensajes encriptados con DES sean más fáciles de descifrar
para la NSA.
Por ello DES tiene el problema de tener una clave muy corta, sin embargo IBM
para solucionar este problema desarrollo el triple DES, que utiliza 2 claves en tres
etapas de encripción.
a, 2) IDEA
Internacional Data Encryption Algorithm, es un algoritmo de clave simétrica por
bloques. Fue desarrollado por el Swiss Federal Instítute a comienzos de los 90.
Utiliza una clave de 128 bits, por lo que es más eficiente que DES. Como no fue
desarrollado en ios Estados Unidos, no posee restricciones de exportación.
a.3) CAST
Este algoritmo soporta claves de longitud variable, que pueden ir desde los 40
hasta los 256 bits. Utiliza bloques de tamaño de 64 bits, igual que DES. CAST fue
desarrollado para ser de 2 a 3 veces más rápido que DES. Fue desarrollado por
Carlisle Adams y Strafford Travares y patentado por Entrust Technologies, Existen
versiones comerciales y no comerciales de CAST. Es utilizado en PGP (Prety
Good Privacy).
45
o.4) RC4
Desarrollado por Ron Rivest de RSA. Es un algoritmo de cifrado de flujo con
claves de longitud variable, especialmente la clave de 128 bits es muy efectiva.
Existe una versión de exportación de clave de 40 bits que utiliza el Internet
Explorer y el Netscape.
b) En cripción Asimétrica
Por muchos años la criptografía se basó en algoritmos de clave simétrica. En
1970 dos científicos de computación, Whitfiel Diffe y Martin Heltman de la
Universidad de Stanford introdujeron el concepto de criptografía asimétrica que
también se conoce como criptografía de clave pública. Este sistema utiliza 2
cíaves en lugar de una como lo hace la encripción simétrica, así se tiene una
ciave pública y una clave privada, se llaman así por que efectivamente una clave
es publicada y la otra se mantiene en secreto. Así un mensaje que se encripta con
la clave pública solo puede ser desencriptado con la clave privada. Y a la inversa
un mensaje encriptado con la clave privada solo puede ser desencriptado con la
ciave pública como se muestra en la figura 2.5.
Plaintexi
Public key Prívate kcy
Now is thotime íorall
good mGn tocome to thcaid of their
country
^-\t jDi2hT83/yS!
;QD216tlHz%jl6jysY+jcF
®kE=djb&jTn&uIR
\t Nowisthetime forall
goodmen tocometothGaid of their
country
Ciphertexi
Fig. 2.5 Encripción Asimétrica [9]
PlaintGxt
Con !a ayuda de la criptografía de clave pública es posible establecer
comunicaciones seguras con cualquier entidad. Por ejemplo si A desea
comunicarse con B, que es una persona totalmente desconocida y que se
encuentra en un sitio geográfico remoto, el proceso es el siguiente. A envía su
clave pública a B, con la cual, B encriptará los datos que vaya a enviar hacia A.
46
Cuando A recibe ios datos, los desencripta con su clave privada, solo ia clave
privada de A puede desencriptar los datos encriptados con su clave pública.
Ahora, si B envía su clave pública a A, entonces A puede encriptar datos para B
con su clave pública, los datos solamente son desencriptados por B que tiene su
clave privada.
No es importante si el intercambio de claves públicas de A y B se realiza en una
red insegura, ya que el saber la clave pública no implica conocer algo de la clave
privada. La seguridad solo se ve afectada si las claves privadas son
comprometidas.
Los sistemas criptográficos asimétricos o de clave pública son más versátiles que
ios sistemas de clave compartida. Estos sistemas permiten !a funcionalidad de
autenticación, no repudio de los participantes y el uso de certificados digitales que
serán tratados posteriormente.
Esto sistemas son más escalables para redes grandes que los sistemas
simétricos. En la tabla 2.1 se resume las ventajas y desventajas de los sistemas
de criptografía de clave pública.
Ventajas i Desventajas íí i
Una clave secreta compartida no es
necesaria
Permite Autenticación
Provee No - Repudio
Escalable
Recursos computacionales mayores
Se requiere de una Autoridad
Certificadora
Tabla 2.1 Ventajas y Desventajas de los sistemas de criptografía de clave pública
Hoy en día existen 3 algoritmos de clave pública ampliamente utilizados, Diffie-
Hellman, RSAyDSA.
47
b.lj Diffie-Helman
Este algoritmo fue desarrollado por Whjtfiel Díffe y Martin Heilman en la
Universidad de Stanford, y fue el primer algoritmo de clave pública utilizado. Se
basa en la dificultad de procesar computacionalmente algoritmos discretos.
Es muy utilizado en el intercambio de llaves compartidas para establecer
conexiones simétricas entre 2 entidades, muy utilizadas en protocolos de
administración de llaves para IPSec1,
Para una comunicación espontánea con Diffie-Helman, las dos entidades
involucradas deben generar cada una un número aleatorio para servirles de clave
privada. Luego intercambian sus claves públicas.
Una vez realizado el intercambio de claves públicas, cada entidad aplica su clave
privada a la clave pública del otro para generar un valor idéntico en ambos lados,
este valor es la clave compartida con la cual encriptarán e intercambiarán
información.
b,2)RSA
Fue desarrollado por Ron Rivest, Adi Shamir y Len Adelman en el MtT (Instituto
Tecnológico de Massachusets). RSA genera las claves multiplicando números
primos muy grandes. Su fuerza radica en el hecho de que es muy difícil factorar2
números primos muy grandes. RSA provee las facilidades para las firmas digitales
que serán tratadas más adelante en este capítulo. Es utilizado en SSL (Secure
Socket Layer) para iniciar la sesión y en seguridad para correo electrónico PEM
(Prívacy- Enhanced Maií).
b.3)DSS
Digital Signatura Standard, utilizado para firmas digitales que serán tratadas
posteriormente en este capítulo.
1 }P Seguro
48
2.2.1.3. Ruptura del código
Desde que existen los sistemas de encripción, existe gente que trata de violarlos.
Existen varios métodos que se han desarrollado para quebrar el cifrado, algunos
son ingeniosos, otros son sofisticados y técnicos, mientras que otros son
exclusivamente de fuerza.
A continuación se explican las principales técnicas utilizadas para romper la
seguridad.
a) Conocimiento del texto plano
Se basa en conocer el texto plano encriptado en el mensaje cifrado. Conociendo
ambos, el texto plano y ei mensaje cifrado del mismo, el código puede ser roto por
reingeniería y obtener la clave utilizada.
fy) Eligiendo un texto plano
Se basa en la habilidad de los atacantes para conocer un texto encriptado, es
decir "adivinar" el texto plano y proceder a encontrar la clave con el texto
encriptado para descifrar el código. Con este método Estados Unidos rompió el
código japonés en la Segunda Guerra Mundial.
c) Criptoan álisis
Técnicamente cualquier método utilizado para romper un código es criptoanalisis.
Sin embargo el criptoanalisis se refiere a específicamente emplear análisis
matemático para romper el código. Este método requiere de gran habilidad y
sofisticación, por lo cual es utilizado por gobiernos y centros de estudio que
poseen súper computadoras para realizar los análisis.
La principal agencia en el mundo que se dedica al criptoanalisis es la NSA
(National Securíng Agency) de los EDA, que cuenta con miles de profesionales y
sofisticado equipo para realizar estos análisis matemáticos.
49
d) Fuerza Bruta
El método de fuerza bruta trata todas las posibles combinaciones de las claves o
de los algoritmos para romper el código. Para realizar esta tarea se debe tener
una tremenda capacidad de cómputo, pero si el algoritmo es sencillo y la clave no
es muy farga se puede utilizar una PC común.
íEh cambio si el algoritmo es complejo y la clave es grande, se requiere poder
computacional avanzado,
e) Ingeniería Social
Este método confía en romper el código obteniendo información de alguien que
conoce el sistema de cifrado o la forma misma de romperlo. Para obtener la
información se soborna o engaña a la persona para que la revele.
J) Otros
Existen otros tipos de ataques para romper la seguridad. Uno de ellos es el
ataque de substitución. Un atacante inserta un mensaje previo, en un mensaje
legítimo, por lo que no es necesario romper el cifrado.
Otra técnica más sofisticada es el ataque de sincronismo, teóricamente se puede
romper e! código conociendo los tiempos de encripción y desencripción de los•*
datos, para esto se debe conocer bien el algoritmo que se está utilizando.
2.2.2. Integridad de Mensajes
Con la integridad de mensajes se espera .prevenir o detectar la alteración de los
mismos durante su transmisión. La técnica más empleada es la conocida como
función has/7.
•La función hash toma un mensaje de cualquier longitud, lo procesa y obtiene
como resultado un valor de longitud fija, el resultado se conoce como valor hash.
50
La longitud del mensaje original no afecta la longitud del valor hash. E! valor hash
es una suma de comprobación (checksum) criptográfica del mensaje, con el cual
se comprueba si existió alteración durante la transmisión.
Por ejemplo al utilizar correo electrónico, la función hash se aplica al mensaje
tanto en la transmisión como en la recepción. Si el mensaje es modificado durante
la transmisión, el valor hash calculado en recepción no coincidirá con el-'valor
hash calculado en la transmisión.
La función hash debe ser de una sola vía, es decir que no se puede recuperar el
mensaje a partir del valor hash. Además la posibilidad de colisión de los valores
hash debe ser pequeña. Una colisión ocurre cuando se obtiene el mismo valor
hash para 2 o más mensajes únicos. El valor hash debe ser diferente para
mensajes diferentes. A continuación se describen las principales
ímpíementaciones de algoritmos hash,
2.2.2.1. MD4
Desarrollado por Ron Rivest de RSA. MD4 es una función de una vía que procesa
en fres rondas el mensaje de longitud variable y obtiene como resultado un valor
hash de 128 bits. Un análisis del algoritmo demostró que no es de una vía por lo
menos en las dos primeras rondas y que es susceptible de colisión.
2.2.2.2. MD5
Fue creado también por Rivest de RSA, como una mejora de MD4, de igual
forma genera un valor hash de 128 bits procesando el mensaje. Este valor que es
como una huella dactilar del mensaje sirve para procesar la integridad del
mensaje.
Aunque MD5 es más seguro que MD4, también presenta algunas debilidades,
también es susceptible de colisión, pero no por el algoritmo en sí, sino por la
51
limitación de la longitud del valor hash mismo. MD5 es muy utilizado en firmas
digitales
2.2.2.3. SHA-1
Es un algoritmo de una sola vía utilizado para firmas digitales. Se deriva de SHA
que fue desarrollado por la NIST (National Instituto ofStandards and Technology)
dé los EUA en 1994. Es ligeramente más lento que MD5, pero es más seguro.
SHA-1 produce un valor hash de 160 bits, por lo cual es más resistente contra
ataques de fuerza bruta que MD5.
2.2.2.4. RIPEMD
Es una función hash que fue desarrollada por el proyecto de la Comunidad
Europea RIPEMD (RACE Integrity Primitives Evaluation, Message Digesf).
Existen varias extensiones de este algoritmo, de 128, 160 y de 256 bits.
2.2.3. FIRMAS DIGITALES Y CERTIFICADOS DIGITALES
Para tener un alto nivel de confidencialidad y poder confiar plenamente en la
integridad de la información, ias partes involucradas deben poder autenticar la
identidad de la otra parte; con el uso de encripción de clave pública se garantiza
la confidencialidad de la información pero no se puede asegurar la identidad de
tos participantes.
En el ejemplo presentado anteriormente de una comunicación con encripción de
clave pública entre A y B, ninguna de las partes puede estar segura de la
identidad del otro, cómo puede asegurar A que tiene la clave pública de B, y que
por ejemplo una entidad X interceptó la clave pública de B y en su lugar envió su
clave pública.
52
Este problema de autenticación fue por muchos años el mayor obstáculo para
potencializar ef uso de Internet para transacciones comerciales. Gracias al
desarrollo de la tecnología de certificados digitales y firmas digitales ahora se
puede realizar comercio electrónico con tranquilidad.
2.2*3.1. Firmas Digitales
Una firma digital permite al receptor autenticar la identidad del transmisor y
verificar la integridad del mensaje. Para esto la firma digital utiliza encripción de
cíave pública y funciones de hashing. Para la autenticación el transmisor debe
conocer de forma confiable cuál es la clave pública del transmisor, ya sea por
conocimiento previo o por medio de un tercero confiable.
La firma digital se genera aplicando la función hash al mensaje y luego
encríptando este valor hash con la clave privada del transmisor. El transmisor
envía el mensaje en texto plano y la firma juntos al receptor. El receptor
desencripta el valor hash con la llave pública del transmisor y verifica la integridad
del mensaje. También se verifica la identidad del transmisor ya que solamente si
el valor hash fue encriptado con la llave privada del transmisor entonces se
puede desencriptar con la llave pública del mismo.
La figura 2.6 ilustra este proceso. La versatilidad de las firmas digitales radica en
que son casi imposibles de falsificar y son fáciles de verificar.
Sender'sprívate key
Messagedigest
Decrypt
Sender'spublic key
Fig» 2,6 Firma Digital [9]
53
Sin embargo existe un problema que queda pendiente, y es el de intercambiar las
claves públicas y asegurar que pertenezcan a las entidades correspondientes.
Este problema se soluciona con el uso de Certificados Digitales y Autoridades
Certificadoras que serán tratados más adelante.
Existen 2 estándares actualmente en el mercado para firmas digitales, ambos se
basan en el estándar X.509 de la ITU (International Telecommunications Union).
El primero fue desarrollado por RSA Data Security en 1977, que por supuesto,
utiliza el algoritmo de clave pública RSA tanto para encripción como para
autenticación.
•El segundo estándar es el DSS (Digital Signatura Standard) seleccionado por el
NISTen 1994.
2.2.5.2. Certificados Digitales
Las firmas digitales se utilizan para verificar que el mensaje no haya sido alterado
y autenticar ia identidad del transmisor mediante su clave pública. Pero como se
mencionó anteriormente existe un problema.
Se tiene nuevamente A y B que son dos entidades que desean intercambiar
información de manera segura, A y B se encuentran en sitios remotos y no se
conocen entre sí, el problema es cómo obtener la clave pública de A y de B para
iniciar el proceso de comunicación de forma confiable y rápida.
La solución más práctica es publicar las claves públicas de las entidades en un
sitio Web, por ejemplo B puede tener un sitio Web donde publica su ciave pública
para que cualquiera que lo requiera ia pueda obtener.
Pero esto trae un problema más grave, por ejemplo A desea la clave pública de B,
(Cb), para iniciar una comunicación segura, A ingresa el URL del sitio Web de B,
54
a continuación su navegador busca la dirección DNS de la página de inicio y
envía una solicitud GET, como se muestra en la figura 2.7.
Por mala suerte un atacante X intercepta el mensaje y retorna una página Web
falsa, probablemente una copia de la de B, pero con la clave pública de X, una Cx
en lugar de Cb. Como A ya tiene io que cree ser la clave pública de B, envía los
mensajes encriptados realmente con la clave pública de X. Así X puede leer todos
los mensajes que le envíen a B, e incluso modificarlos y encriptarlos con la clave
pública de B para enviarlos a éste nuevamente.
i. Obtiene la página de inicio de B
A2. Falsifica la página con Cx
3. Mensaje con Cx
X
4. Mensaje Cb
B
Fig. 2.7 Intercepción de la clave pública
Con este ejemplo se ve la necesidad de encontrar un mecanismo de intercambiar
las claves públicas de manera segura y práctica.
Por ello nacen los Certificados Digitales. Un certificado digital es un documento
digital emitido por una Autoridad Certificadora utilizando una infraestructura
jerárquica de clave pública.
El certificado digital sirve para asociar un individuo o una entidad con su clave
pública proveyendo los medios para una comunicación espontánea donde las
partes no han tratado entre sí jamás. Permite tener un alto nivel de
confidencialidad y autenticación de la identidad de los participantes. La Autoridad
Certificadora (CA) que emite los certificados digitales debe ser una institución
bien conocida y confiable, por ejemplo gobiernos y empresas de tecnología
55
importantes. La CA firma los certificados que emite con su clave privada. Esto
provee confirmación independiente de que una entidad o individuo es en efecto
quien dice ser.
El funcionamiento de los certificados digitales se puede entender mejor con un
ejemplo práctico. Nuevamente se tiene 2 entidades totalmente desconocidas
entre sí, A quiere enviar a B su clave pública, así B puede verificar la firma digital
de A utilizando su correspondiente clave pública. Pero cómo se puede asegurar B
que efectivamente va a obtener la clave pública de A y no la de un atacante X.
La respuesta es obteniendo la clave pública de A de un certificado digital firmado
con (a clave pública de la CA. A para obtener su certificado digital solicitó los
servicios de una Autoridad Certificadora que realizó las investigaciones
necesarias y físicamente entregó un archivo con el certificado digital firmado con
su clave privada. Este certificado A lo presenta a B, B verifica el valor hash que se
envía en el certificado, calculándolo nuevamente utilizando la clave pública de la
CA que es bien conocida, así B verifica si el certificado digital es auténtico. A
continuación en la figura 2.8 se muestra un ejemplo de un Certificado Digital, en
este caso la CA es IBM.
Certifícate K3631'í 7=:=
G
•!
enera! f'Delaíls ] CeVtificaíTon Patfi ]
F<*ÍT-j*v'']E feyd Certifícate Information
This certifícate eannot be verified due to a lack ofmformatíon.
Issued to: Emma Verónica Soria Maldonado
ls*ued bj>: ]BM CertificatronAuthoríty
VaÜd from 14/01/04 to 27/01/05
i, k-üufcr <si.íjlernent .
;
IdloEZIJl
Fig. 2,8 Certificado Digital
56
Se podría pensar que se tiene el nuevo problema de conocer con seguridad !a
clave pública de la CA. Sin embargo la clave pública de las CA viene ya instalada
en los browsers más conocidos como internet Explorer, Netscape, etc., mediante
convenios y sociedades de empresas de tecnología de software como Microsoft y
Autoridades Certificadoras. Esta clave se incluye en los denominados certificados
digitales raíces instalados ya en los browsers,
a) Estándar X.509
Ahora todo el mundo desea un certificado firmado por una autoridad certificadora
bien conocida para poder establecer comunicaciones seguras, sin embargo, si los
certificados tienen formatos diferentes, administrarlos y garantizar compatibilidad
entre ellos sería muy complejo. Para ello la ITU desarrolló el estándar X.509 para
certificados digitales que es ampliamente utilizado en Internet Fue publicado
originalmente en 1988 en su primera versión, actualmente se encuentra en
vigencia la tercera versión que es la que se trata a continuación. El X.509
especifica la forma de describir los certificados digitales. Los campos principales
que un certificado digital debe tener son los mostrados en la tabla 2.2.
Campo Explicacióní \n
Número de Serie
Algoritmo de Firma
Emisor
Validez
Nombre del Sujeto
Clave Pública
ID del Emisor
ID del Sujeto
Extensiones
Firma
Versión del X.509
Identificador único del certificado
Algoritmo de firma del certificado
El nombre de ía Autoridad Certificadora
Fechas de inicio y fin del periodo por el cual el certificado es válido
Nombre de la entidad a la cual pertenece el certificado
La clave pública del sujeto y el ID del algoritmo utilizado para
generarla
ID opcional que identifica de manera única al emisor del certificado
ID opcional que identifica de manera única al sujeto del certificado
Varios
Firma del certificado con la clave privada de la Autoridad Certificadora
Tabla 2.2 Campos de un Certificado Digital
57
La información mostrada en el certificado es la esencial para que !a otra parte
conozca con quien está tratando.
Los certificados digitales se codifican con la ASN.1 (Notación de Sintaxis
Abstracta 1), de la OSI, que especifica una notación y estructura específica,
A continuación en la figura 2,9 se muestra un certificado digital verdadero con sus
principales campos.
Certifícate,. .-.,...
G
:
;
enera! ¡' Detaíís
Show; |<AII>
Field
1 1 Versión
^ • ^ •• ^ •••¡ ^ • H ? S xCertifícation Palh j
: ^J.í
1; Valué l-ii"
V3 jEÍ] S erial Number 0131 2E jfr^JSignature Algorithm mdSRSA !f^iissuerf^j Valid FromÜElValidTQ
IBM Certifícation Authority, ínter...Miércoles, 1 4 de Enero de 200...Jueves, 27 de Enero de 2005 0... :
l-~-.itiubiect pcayudat^ec. ibm.com. Ü2SI571... ^H1 1 Public Kei> RSA (1 024 Bits) H
E = [email protected] 9200300.1 00.1.1 = G28671683CN = Emma Verónica Soria MaldonadoOU«ErvlPLOYEE0 -IBMc = us
¡' ¿dit Pfopertiec... |j Qopy to Fiíe..,
~~;
Aceptar |
Fig. 2.9 Certificado Digital Verdadero.
Para este certificado se puede apreciar que la información de tos campos es la
descrita en la tabla 2.3.
b) Limitaciones de un certificado digital
Hay algunos aspectos a considerar con e! uso de certificados digitales. Por
ejemplo los certificados digitales no son asignados de por vida a una entidad,
.tienen un tiempo de expiración.
58
El problema viene entonces con respecto a la no validez de ios certificados
expirados. Otro problema que se tiene es la revocación de certificados,
supongamos que una compañía recibió su certificado de una CA sin mayor
problema, pero qué ocurre si esa compañía quiebra y se liquida, se debe manejar
la revocación del certificado, pues esa compañía ya no es una entidad confiable y
que por tanto deba tener un certificado digital. Pero un certificado emitido tiene
validez hasta que expire, por lo cual no existe un proceso inmediato para revocar
o retirar esta certificación.
Campo Explicación
Versión
Número de Serie
Algoritmo de Firma
Emisor
Validez
Nombre del Sujeto
Clave Pública
(1024 bits)
ID del Emisor
ID del Sujeto
Extensiones
Firma
Versión 3
01 31 2E
MD5 y RSA
IBM Certificatíon Authoríty
2004 - 01 - 14 hasta el 2005 - 01 - 27
3081 8902 8181 0090 321D 6FEO 7460 7F65 B221 F6F6 49E4
57AA OC95 BFE3 ECF6 2063 C7DD 5BFE 8162 E244 2A89 6B7B
OAOF 04ED 2D3F 918E 2E29 E404 D8CA D967 AF1F 2FOC 58BF
11F4 62C3 A374 C06F 2931 D9FA 7520 3F76 86EC E756 0948
8D40 169D 292A 2CD8 ODE7 F7F8 AD24 F93A CCE6 7B6F 12DF
77DC 3F41 C01C 487E 1849 EOF8 4534 F302 0301 0001
DO 68
20FC
11E2
8A3F
2E91
ID opcional que identifica de manera única al emisor del certificado
ID opcional que identifica de manera única al sujeto del certificado
Varios
Firma del certificado con la clave privada de la Autoridad Certificadora
Tabla 2.3 Campos de un Certificado Digital
Para solucionar este problema las CA emiten periódicamente listas de revocación
de certificados CRL, los participantes utilizan la infraestructura de clave pública
para mantener actualizadas sus CRL's.
c) Autoridades certificadoras
Las Autoridades Certificadoras (CA) son entidades públicas o privadas que llenan
la necesidad de tener una tercera parte que sea confiable para realizar el
59
comercio electrónico. La CA emite certificados digitales a toda entidad que lo
requiera, para lo cual realiza una investigación minuciosa de la entidad para
averiguar sus datos reales, una vez verificados la información, emite un
certificado digital firmado con su clave privada.
Un certificado digital no es útii si la CA que lo emite no es una institución bien
conocida y confiable, además si la otra parte no conoce con certeza la clave
pública de la CA, no aceptará el certificado como válido.
La CA más importante en el mundo es VeríSign Inc, formada por RSA Data
Securíty., otras CA's importantes son GTE, Baltimore y Microsoft, Todas estas
CA's mencionadas tiene su certificado raíz instalado en el Internet Explorer de
Microsoft.
Se puede visualizar las CA's de las que se conoce su clave pública en el Internet
Explorer seleccionando Tools > Internet Options > Contení > Certifícales y luego
seleccionando la pestaña de Trusted Root Certifications Authorities. Con lo que se
visualizará la pantalla de la figura 2.10.
d) Infraestructura de clave pública
Si solamente existieran pocas CA que emitan certificados se tendría un claro
problema de sobrecarga y puntos centrales de fallas. Una posible solución sería
tener varias CA's bajo una sola organización que compartan la clave privada.
Sin embargo, esto presenta un problema, debido a que las diferentes CA's deben
tener la clave privada, existirían varios servidores en el mundo con la clave
privada por lo cual se tiene mayor probabilidad de que sea robada afectando así a
toda la infraestructura.
Además se tendría discrepancias sobre quien debe actuar como CA, en algunos
países se insistiría en que fuera el gobierno, pero en otros casos éste sería
rechazado.
60
SU*Intendedpurpose; ]<Al!>
Intermedíate Certlffcatíon Authbríties - Trusted Root Certification Authorities
IssuedTo
QEI VeriSign Trust Netw...
{13 VeriSign Trust Netw.. -
ÜÉi VeriSign Trust Netw. . .
fe] VeriSign Trust Netw,..
[El VeriSign Trust Netw...
{^3 VeriSign Trust Netw, . .
EE1 VeriSIgn Trust Netw,.,
IfcSjVeriSign Trust Netw. . .
EE]XcertEZbyDST
Issued By
VeriSign Trust Network
Verisign Trust Network
VeriSign Trust Network
VeriSign Trust Network
VeriSign Trust Network
VeriSign Trust Network
VeriSign Trust Network
VeriSign Trust Network
Xcert EZ by DST
| Expiratio...
18/05/2018
01/08/2028
18/05/2018
Ql/08/2028
18/05/2018
01/08/2028
01/08/2028
18/05/2013
11/07/2009
Friendly Ñame
VeriSign Class 2 ,,.
VeriSign Class 2 ...
VeriSign Class 3 , , ,
VeriSígn Class 3 ...
VeriSign Class 4 ...
VeriSignClass 1 ,,,
VeriSign Class 4 ...
VeriSignClass 1 ...
Xcert EZ by DST
H
1 iT!ímport,,. Export.., Rérnove Advanced,
-Certifícate intended purposes—:—
Secure Email Client Authentication
View
;C-íose— -
Fig. 2 JO Autoridades Certificadoras
Por estos problemas se ha desarrollado una forma diferente de establecer la
certificación. Se conoce como PKI (Public Key Infrastructure). La PKÍ provee una
estructura jerárquica de CA's y define los estándares para los diferentes
documentos y protocolos.
La PKI específica una jerarquía de CA's. Se tiene una CA raíz que certifica a CA
regionales llamadas Autoridades Regionales RA, que a su vez certifican a las
CA's verdaderas que emite los certificados digitales a las entidades. Cuando una
raíz autoriza a una RA emiten un certificado aprobando la RA, incluyendo la clave
pública de la RA. Igualmente una RA que autoriza una CA emite un certificado
firmado con su clave privada a la CA en el que se incluye la clave pública de la
CA.
61
Gracias a esto una entidad que requiera un certificado recurre a la CA más
cercana autorizada por una RA, que a su vez está autorizada por una autoridad
raíz. Esto hace que sea fácil y económico obtener un certificado dígita! para
comunicaciones seguras. En !a figura 2.11 se muestra un ejemplo de una PKI
real.
Fig.2.11 PKI real [9]
2.3. ASPECTOS GENERALES DE LA SEGURIDAD EN REDES
INALÁMBRICAS
Debido a las grandes ventajas de las redes inalámbricas, muchas empresas ias
han implementado como complemento de su infraestructura cableada instalada.
Pero si no se tiene desarrollados ios mecanismos de protección de la misma se
deja un agujero de segundad por donde se puede poner en riesgo la integridad
de toda !a red. La diferencia principal de las redes inalámbricas con las cableadas
radica en el medio de transmisión que utilizan, esto implica que e! concepto de
cobertura de ia red cambia ya que depende dei alcance de la señal de radio, la
misma que puede fácilmente salir del edificio y ser interceptada por un atacante
con la utilización de un equipo no muy sofisticado (PDA con tarjeta inalámbrica y
tiempo libre). Todo esto concluye en la necesidad de enfrentar uno de los
mayores retos de las redes inalámbricas, la seguridad. Ya se ha visto los
62
principales aspectos de seguridad que debe cumplir un sistema, pero en el caso
de redes inalámbricas se deben resaltar algunos aspectos importantes.
23.1. OBJETIVOS DE LA SEGURIDAD EN REDES INALÁMBRICAS
El objetivo de los mecanismos de seguridad en redes inalámbricas es proveer la
misma confianza que se tendría en la red cableada. Para esto se debe entregar
los tres servicios fundamentales de la seguridad en redes: Autenticación,
Confidencialidad e Integridad (la disponibilidad depende más de la política de
seguridad de la empresa).
2.3.1.1. Autenticación en Redes Inalámbricas
La autenticación debe ser de doble sentido, se debe poder verificar la identidad
de! usuario que se asocia a la red y la identidad de la red a la cual se asocia el
usuario. Un atacante puede tratar de ingresar a la red mediante un dispositivo
inalámbrico ubicándose cerca del edificio, o podría ubicar un AP ilegal de mayor
potencia para que los usuarios se asocien a éste y le transmitan sus datos.
2.3.1.2. Confidencialidad en Redes Inalámbricas
Debido a que la señal de radio puede ser fácilmente capturada (inevitablemente
por fa naturaleza inalámbrica), se debe proveer mecanismos de privacidad para
ios datos que viajan en la señal. Esto se logra con mecanismos de encrípción
robustos.
2.3.1.3. Integridad en Redes Inalámbricas
En un ambiente inalámbrico los datos pueden ser interceptados y luego el
atacante los podría modificar y enviar nuevamente a la red. Este tipo de ataque se
82
En ia figura 2.29a se muestra un ejemplo de este tipo de autenticación, la clave
compartida en este caso es 123.
a)
Clíenl CÍQVÍGSWilhWIEP !<&'/= 123
roques I
2. UnencrypLecI challenge
Access polntar bildgs
withWEPkey = 123
I
Z. bncryplsd challenge pospones
¿I. AulhenLIcailon rosponse
Clienl clevicGwilhWEPkey=321
b)
1 Aulhenilcalíon request
Access poinlor brklge
wiÍhVVEPI;ey=123
2,AulhenlIcallon response
Fig. 2.29 a) Autenticación Upo Shared
b) Autenticación tipo Open [14]
Este tipo de autenticación presenta un problema. Si un atacante captura el texto
plano del challenge y el texto encriptado con la clave secreta en respuesta,
entonces puede descifrar la clave secreta mediante mecanismos inversos de
encripción, logrando así la romper la seguridad de la WLAN.
c) Open System Authentíccition
En este tipo de autenticación se acredita a cualquiera que desea asociarse a la
WLAN. Sin embargo no se le permite a la estación transmitir a menos que
conozca la clave WEP compartida.
Este procedimiento se puede observar en la figura 2.29b. En este caso ia clave
'WEP de la estación no corresponde a la del AP.
83
En la figura 2.30 se muestra el formato de una trama de autenticación. Este
formato es utilizado para todos los mensajes de autenticación.
Swaincctets
0 - 2 ^ 1 2
?líiitliTonlTol Jjmiion
DcsiAJdr
Son iceAdir BSSID Seq# l-'rnmeBoily rcs Formal
MuorilhmVutrtbcr
ScqNiim
Slíi liliCotia
[•lemfliitID
l.cngih Cha HongoTexl
Authsulícülícnl-rnnie Pbrinnl
Fig. 2.30 Trama de Autenticación WEP [13]
Si el campo "Status Code" tiene valor 'O1 indica que la autenticación ha sido
realizada con éxito, si no contiene un código de error.
> El campo "Element identifier3* indica que la trama contiene el texto del
challenge.
> El campo "Length" indica la longitud del texto de desafío y está fijado a
máximo 128 bits.
> El campo "Challenge texf incluye el texto de desafío (challenge) aleatorio.
La tabla 2.4 muestra los posibles valores de los campos y cuándo está presenté el
texto de! challenge, según el número de secuencia (Seq #) del mensaje.
Sequeuce Nuiuber12io4
Status CodeReservado
StatusReservado
Status
Challenge TextNo presente
FraséatePresente
No presente
Se usa WEPNoNoSiNo
Tabla 2.4 Valores délos campos de la trama de Autenticación [13]
84
2.4.1.5. Vulnerabilidades de WEP
a) Características lineales de CRC32
Esta vulnerabilidad fue demostrada teóricamente por Nikita Borisov, Lan Goldberg
y David Wagner (Universidad de Berkeley).
Como se ha visto anteriormente, el campo ICV (Integríty Check Valué) de una
trama encriptada con WEP contiene un valor utilizado para verificar la integridad
del mensaje.
Esto provee de un mecanismo de autenticación de mensajes a WEP, por lo tanto
el receptor aceptará el mensaje si el ICV es válido. El fCV se genera simplemente
haciendo un CRC (CycJic Redundancy Check) de 32 bits, del payload de la trama.
Este mecanismo tiene dos graves problemas;
> Los CRCs son independientes de la llave utilizada y del IV.
> Los CRCs son lineales; CRC (m (+) k) = CRC (m) (+) CRC(k).
Debido a que los CRCs son lineales, se puede generar un ICV válido ya que el
CRC se combina con una operación XOR que también es lineal y esto permite
hacer el 'bit flipping3 como se verá a continuación:
Un atacante debe interceptar un mensaje m (conocido o no) y modificarlo de
forma conocida para producir m':
m1 = m (+) A
Como el CRC-32 es lineal, puede generar un nuevo ICV a partir del ICV de m:
IC' = IC (+) h (A)
85
1CV será válido para el nuevo cypheriext c'
c' = c (+) A = k (+) (m (+) A) = k (+) m1
header IVPaquete802.11b
A CRC(A)
iheader IV
Paquete802. llb
modificado
Fig. 2.31 Vulnerabilidad WEP
b) MIC Independiente de la llave
Esta vulnerabilidad fue demostrada teóricamente por David Wagner (Universidad
de Berkeley). También conocida como "Lac/c of keyed MIC". El MiC1 que utiliza
WEP es un simple CRC-32 calculado a partir del payioad, por lo tanto no depende
de la tlave ni del IV. Esta debilidad en la encriptación da lugar a que conocido el
texto piano de un solo paquete encriptado con WEP sea posible inyectar paquetes
a la red. Esto es posible de la siguiente manera:
El atacante captura un paquete c = m (+) k donde m es conocido (por ejemplo, el
atacante envía un e-mail a la víctima)
El atacante recupera el flujo pseudo-aleatorio k = c (+) m para ei IV concreto del
paquete. El atacante inyecta un mensaje m1 así:
ICV = CRC32 (m1)
El atacante ya puede ensamblar la parte encriptada del paquete:
1 Mensaje de chequeo de integridad
86
c = (m'|ICV) (+) k
El atacante obtiene un paquete válido y iisto para ser inyectado a la red:
header IV (m! | ICV) e kFig.2.31 Vulnerabilidad WEP [10]
c) Tamaño de IVdemasiado corto
Otra de las deficiencias del protocolo viene dada por la corta longitud del campo
IV en las tramas 802,11 b. El vector de inicialización (IV) tiene sólo 24 bits de
longitud y aparece en claro (sin encriptar).
24Matemáticamente sólo hay 2 (16.777.216) posibles valores de IV. Aunque esto
pueda parecer mucho, 16 millones de paquetes pueden generarse en pocas
horas en una red inalámbrica con tráfico intenso:
Un punto de acceso que constantemente envíe paquetes de 1500 bytes (MTU) a
11 Mbps, acabará con todo el espacio de IV disponible después de
1500*87(11* io6 )* 224 = -1800 segundos, o 5 horas. Este tiempo puede ser
incluso más pequeño si la MTU es menor que 1500 bytes.
La corta longitud del IV, hace que éste se repita frecuentemente y de lugar a la
deficiencia del protocolo que se verá a continuación, basada en la posibilidad de
realizar ataques estadísticos para recuperar el texto plano gracias a la
reutilización de! IV.
d) Reutilización de IV
Esta vulnerabilidad fue demostrada teóricamente por David Wagner (Universidad
de Berkeley). Se basa en que WEP no utiliza el algoritmo RC4 "con cuidado": el
87
Vector de Inicialización se repite frecuentemente. Se pueden hacer ataques
estadísticos contra cyphertexts con el mismo IV.
Si un IV se repite, se pone en riesgo la confidencialidad. Supóngase que P y P'
son dos textos planos encriptados con el mismo IV. Supóngase que Z = RC4(/cey,
IV); entonces los dos ciphertexts son:
C = P (+) Z y C' - P'(+) Z
Nótese que C (+) CJ = (P (+) Z) (+) (P' (+) Z) = (Z (+) Z) (+) (P (+) P') = P (+) P1 por
io que la XOR de ambos textos pianos es conocida. Si hay redundancia, se
pueden descubrir ambos textos planos. Si se puede adivinar un texto plano, el
otro puede también ser descubierto estadísticamente de forma trivial, así que si
RC4 no se usa con cuidado, se vuelve inseguro.
2.4.2.6. El definitivo rompimiento de WEP
En Agosto del 2001 Scott Fluhrer, Itsik Mantin y Adi Shamir publicaron un
documento titulado debilidades en el algoritmo de programación de clave de RC4.
Al final del documento los autores describen un ataque teórico a WEP. El ataque
se basa en una debilidad encontrada en la manera que RC4 genera el Keystream.
Todo lo que se asume es la habilidad de recobrar el primer byte de los datos
encriptados. Desafortunadamente 802.11 utiliza encapsuiación LLC, por lo que el
valor en texto plano de este primer byte es siempre OxAA. Como se conoce este
primer byte el Keystream puede ser deducido por una operación trivial XOR con el
primer byte encriptado.
El ataque que describe el documento se centra en la forma en que las claves son
escritas: (B+3):ff:N. Cada IV es utilizado para atacar un byte particular de la
porción secreta de la clave RC4. Los bytes de la clave son numerados desde
cero, por lo cual la debilidad del IV corresponde al byte cero de la clave secreta
que toma la forma 3;ff:N. El segundo byte debe ser Oxff; conocer el tercer byte de
la clave es requerido, pero éste no necesita ser ningún valor específico.
Una clave WEP estándar es de cinco bytes numerados consecutivamente de cero
a cuatro. El IV tiene el primer byte en el rango de tres a siete y ei segundo byte
de 255. Existen 5x1x256, es decir, 1280 posibles IVs débiles en una red WEP
estándar. Es necesario notar que el número de claves débiles depende de la
longitud de la clave RC4 utilizada, por lo cual a mayor longitud de clave, más IVs
débiles existirán.
Aplicando la teoría de probabilidad los autores predijeron que cerca de 60 casos
resueltos son necesarios para determinar un byte de la clave.
Poco después de la publicación de este trabajo Adam Stubblefield, Johon
Loannidis y Avi Rubin aplicaron este ataque experimental en una red real, con
efectos devastadores. En 60 casos resueltos usualmente determinaban un byte
de la clave, y en 256 casos resueltos siempre encontraban la clave completa.
Esto implica que con 5 o 6 millones de paquetes encriptados con WEP capturados
se puede descifrar la clave.
En el mismo mes en que se realizó esta prueba Jeremy Bruestle y Blake Hegerie
lanzaron AlrSnort, un programa de código abierto que puede recuperar la clave
WEP. Con esto se facilitó que personas con conocimiento medio de seguridad en
redes pudieran comprometer la seguridad de una WLAN. Es por esto que WEP
por sí solo, es aplicable únicamente para pequeñas empresas y hogares.
2.4.1.7. Ventajas de WEP
> WEP es fácil de instalar.
> No requiere de una inversión adicional
No necesita servidores de autenticación, certificados digitales y bases de
datos de usuarios.
89
> Compatible con todas las plataformas de clientes.
> Compatible con casi todo eí hardware de redes inalámbricas.
2.4.1.8. Desventajas de WEP
> Utiliza la misma clave para encripción y autenticación. Si se compromete la
una se compromete también la otra.
> Mecanismo de autenticación, encripción e integridad con varias debilidades.
> No constituye una solución adecuada para WLAN's corporativas.
> No protege de intrusión de usuarios internos, pues la clave es compartida
por todos los usuarios de la WLAN.
2.4.2. WPA
WEP es un sistema muy débil ya que se puede conseguir la clave de cifrado
monitorizando las tramas y procesándolas. Además la integridad se consigue
utilizando simples técnicas de detección de errores (CRC) que no son eficientes
para garantizar la integridad. Otro problema es que se tiene un punto simple de
vulnerabilidad, ya que si la clave es robada se pone en riesgo la autenticación y la
confidencialidad.
La Wi-Fi Alliance, como organización responsable de garantizar la
interoperabilidad entre productos para redes inalámbricas de fabricantes diversos,
ha definido una especificación de mercado basado en las directrices marcadas
por el grupo de trabajo 802.11 i denominada Wi-Fi Protected Access (WPA), junto
con la correspondiente certificación de productos.
WPA aparece a finales de! 2002 y es básicamente el pre-estándar de 802.11 i que
se espera este listo para finales del 2004. WPA está destinado a garantizar la
segundad en las especificaciones IEEE 802.11 b, 802.11a y 802.11 g.
En la tabla se muestra una comparación entre el WEP de 802.11 y WPA.
90
Comparación de características de seguridad proporcionadaspor IEEE 802.1 1^ WPA
Características
Sisiemn (Algoritmo) cíe Cífrndo
Longitud.
Cifrado Gestión claves Generación clave
Distribución clave
Entorno
Autenticación Método
802.11
WEP ÍRW)
'10 bitsEstática, fn misma pnmtodos los dispositivosManual, en codocfisposiSvoDefinido por 802; VIAbierta/Clavo compartida(autentifica el equipo)
WPA
TKGMRC4)
128 bits
Dinámica: por usuario.|5or sesión, pa paqueteAutomática. cicstiaiDclapor 802,1xííAP
802.1 tíEAPEAP-HS, PEAB EAP-rrLS(nutensiíicanal usuario)
Tabla 2.5 Campos de un Certificado Digital
Lo que WPA ofrece es mejorar WEP considerablemente utilizando toda la
tecnología desarrollada hasta el momento, para lo cual se vale de la definición de
nuevas herramientas como el TKIP (Temporal Key Integríty Protoco/), el MIC
(Message ¡ntegríty Check) y estándares completos como el 802.1x y EAP. -
El esquema de 802.1x y EAP será explicado en la siguiente sección en más
detalle, por lo que se empezará la descripción del funcionamiento de TKIP.
2.4.2.1. PRIVACIDAD E INTEGRIDAD CON TKIP
Temporal Key integrity Protocol (TKIP) amplía y mejora a WEP, solucionando sus
vulnerabilidades. TKIP amplía la longitud de la clave de 40 a 128 bits y pasa de
ser única y estática a ser generada de forma dinámica, para cada usuario, para
cada sesión (teniendo una duración limitada) y por cada paquete enviado.
TKIP ofrece las siguientes 4 mejoras:
> Un código de integridad de mensaje criptográfico (MIC) y no un simple
CRC.
1 http://www.edubis.com
91
> Una nueva disciplina de secuencia del IV, para remover los ataques de
retransmisión a WEP.
> Función de combinación de claves por paquete para eliminar la correlación
de los IV.
> Mecanismo de generación de nuevas claves para que no existan ataques
por su reuíilización.
2.4.2.2.
El Message Integríiy Check o MIC sirve para garantizar la integridad del mensaje
emitido. Debido a que un simple CRC no es suficiente ya que puede ser
recalculado con facilidad, el MIC emplea un mensaje criptográfico que se añade a
la información transmitida.
Este mensaje se conoce como Message Authentication Codes o MAC's. El
Algoritmo de integridad utilizado específicamente por TKIP es el algoritmo de
M/c/7ae/1 que genera un bloque de 4 bytes a partir.de la dirección MAC origen,
MAC destino y los datos.
2.4.2.3. Reforzamiento del IV
Un problema del MIC es que no detecta si los paquetes han sido retransmitidos.
Esto ocurre cuando un atacante almacena un paquete válido que estaba en vuelo
y luego lo retransmite.
El estándar resuelve este problema asociando un número de secuencia de
paquete con el MIC encríptado, y reiniciando la misma una vez que el MIC
encriptado es reemplazado. Esta estrategia requiere que el transmisor se
abstenga de enviar datos protegidos con MIC's anteriores una vez que este
finaliza el espacio de la secuencia. El transmisor tiene entonces 3 opciones:
1 Algoritmo de integridad de mensajes propio de TKIP, diseñado para consumir pocos recursos
computacionales
92
> Detener todas las comunicaciones en conjunto.
> Tratar de asegurar el MIC con una clave fresca.
> Enviar el tráfico siguiente sin protección.
El no adoptar una de estas 3 estrategias, pone en riesgo el tráfico ya protegido
con la clave WEP. TKIP ya no sigue el diseño clásico. Para defenderse de las
retransmisiones, TKIP reutiliza el campo IV como un número de secuencia de
paquete.
Ambos, el transmisor y el receptor inicializan el espacio de secuencia a cero
cuando una nueva clave TKIP es utilizada, y el transmisor incrementa el número
de secuencia con cada paquete que envía. TKIP requiere que el receptor cumpla
con la secuencia de IV apropiada en el arribo de paquetes. TKIP define un
paquete como out-of-sequence si su IV es el mismo o menor que el paquete
previo correctamente recibido. Si un paquete se recibe fuera de orden, entonces
es descartado.
2.4.2.4. Combinación de claves
La característica de TKIP para generar una clave por paquete es necesaria para
eliminar las vulnerabilidades del uso de RC4 en WEP.
En WEP, se construye una clave RC4 por paquete concatenando la clave base y
el IV. La nueva construcción de la clave por paquete en TKIP se llama Key Mixing
Functíon o función de combinación de claves. Funciona generando claves
temporales con un periodo fijo de duración que son reemplazadas frecuentemente.
Esta función fue desarrollada por Doug Whiting y Ron Rivest Este proceso se
divide en 2 fases.
En la fase 1 se combina la dirección MAC del transmisor y la clave WEP mediante
iteraciones XOR para producir una clave intermedia. Como la dirección MAC es
93
única- p'ara cada dispositivo se garantiza que siempre se genere diferentes claves
intermedias para cada dispositivo.
La fase 2 utiliza un pequeño cifrado con el Algoritmo de Feistel1 para encriptar el
número de secuencia de paquete con la clave intermedia, produciendo una clave
por paquete de 128 bits.
2.4.2.5. Re-Keying
Este mecanismo consiste en generar continuamente claves nuevas para evitar
que sean reutilizadas. Este mecanismo maneja tres tipos de claves: claves
temporales (2), claves de encripción (2) y clave maestra.
La clave maestra se establece por el servidor de autenticación 802.1x o de forma
manual. Se utiliza para encriptar la comunicación durante la generación del resto
de claves. Las claves de encripción son mensajes seguros que se intercambian
con la clave maestra para generar las claves temporales. En función de las claves
de encripción se derivan 2 claves temporales, una de 128 bits para encripción, y
otra de 64 bits para integridad.
2.4.3. 802.1 x y EAP
Debido a las debilidades de WEP, !os fabricantes empezaron a trabajar
intensamente en el desarrollo de mecanismos de seguridad más robustos, para
ofrecer mejores soluciones al mercado de las WLAN's. El IEEE dirigió estos
esfuerzos mediante las especificaciones del 802.1x, que se basó principalmente
en el protocolo EAP. [13]
Con esta base, las diferentes industrias de tecnología empezaron la carrera por
1 Algoritmo con estructura de transformación (L,R) -> (L,R, © f(R)), la función f se ¡mplementa con
simples iteraciones XOR.
94
crear soluciones principalmente empresariales para la seguridad en WLAN's.
Empresas como Microsoft, CISCO y Funk Software, desarrollaron mecanismos
propios con características particulares de seguridad y costos.
Por todo esto, el entendimiento de la arquitectura de seguridad del 802.1x, los
protocolos que utiliza y las implicaciones de los diferentes tipos de EAP
ímplementados, son de vital importancia para elegir una solución de seguridad
para una WLAN.
2.4.3.1. EAP ExtensibleAuthenticcitíon ProtocoL
La base fundamental del estándar 802.1x es EAP. EAP fue desarrollado por el
IETF y está especificado en el RFC 2284. EAP ¡nicialmente se utilizó en
ambientes WAN con PPP (Point to Point Protoco!) permitiendo varios tipos de
autenticación de acuerdo a las necesidades.
LEAP EAP-TLS EAP-TTLS
EAP
802.3 802.11 PPP
Fig. 2.32 EÁP en h pila de protocolos
Gracias a que EAP es una simple encapsulación, que define el formato de las
tramas para el intercambio de credenciales de las partes, puede utilizarse sobre
cualquier tipo de capa enlace, y no solo con PPP. Esta característica es clave
para que EAP haya sido elegido como base dei estándar 802.1x. En la figura 2.32
se muestra la ubicación de EAP dentro de la pila de protocolos. Como se puede
apreciar EAP se puede utilizar en cualquier red 802.3, en redes WLAN's y en
redes PPP.
95
Además permite gran flexibilidad en el método de autenticación que se puede
utilizar.
a) Formato del paquete EAP
La figura 2.33 muestra el formato de paquete EAP. En el caso de PPP, los
paquetes son transportados en tramas PPP, sin embargo, esto no es una
restricción, ya que los paquetes EAP pueden ser transportados por cualquier tipo
de tramas, por ejemplo en tramas 802.11.
1 1 2 variable bytes
CODE identificador longitud datos
Fig. 2.33 Paquete EAP [13]
> Code.- Es el primer campo del paquete, es de 1 byte de longitud y define el
tipo de paquete EAP para poder interpretar el campo de datos.
> Identificados- Es de 1 byte de longitud, este contiene un entero sin signo
utilizado para corresponder las peticiones con las respuestas. En la
retransmisión de un paquete EAP, se utiliza el mismo identificador. En
nuevas transmisiones se utiliza un nuevo identificador.
> Longitud.- Este campo tiene una longitud de 2 bytes. Contiene el número
de bytes existentes en el paquete EAP, incluyendo los campos de code,
identificador, longitud y datos. En algunos protocolos de capa de enlace es
necesario un padding para completar ia longitud requerida. EAP asume
que todos los datos en exceso del campo longitud son padding de la capa
de enlace y portante los descarta.
> Datos.- El último campo del paquete EAP es de longitud variable.
Dependiendo del tipo de paquete, el campo de datos puede ser también de
longitud cero. La interpretación de los datos depende del valor del campo
code.
96
b) Peticiones y Respuestas EAP
El intercambio de EAP está compuesto por peticiones y respuestas. El
autenticador envía peticiones a los sistemas que buscan acceso, y basado en las
respuestas, el acceso puede ser otorgado o denegado.
El formato de estos paquetes se muestra en la figura 2.34.
variable bytes
CODE identifícador longitud Tipo Tipo-Datos
1 Request
2 Responso
Fig. 2.34 Paquete EAP Response y Request [13]
El campo Code es puesto en 1 para peticiones y en 2 para respuestas. Los
campos Identificador y Longitud se utilizan de forma normal a ia descrita
anteriormente. El campo datos ileva la información utilizada en las peticiones y
respuestas. Cada campo de datos lleva un tipo de datos específico, dividido en un
código de identificador de tipo y en los datos asociados.
Tipo.- Este campo es de 1 byte de longitud e indica el tipo de petición y respuesta.
Solamente un tipo puede ser utilizado en cada paquete. Con una excepción, el
tipo de respuesta, siempre debe coincidir con el tipo de petición.
Esa excepción ocurre cuando la petición no es aceptada, y la contraparte envía
un NAK para sugerir un tipo alternativo. Tipos mayores o iguales a 4 indican el
método de autenticación.
Tipo-Datos.- Es un campo variable que debe ser interpretado de acuerdo a las
reglas de cada tipo.
Código Tipo 1.- Identidad
El autenticador generalmente usa el tipo identificador para una petición
inicial. Siempre el primer paso para la autenticación es identificarse.
97
Naturalmente la mayoría de ¡mplementaciones de EAP tiene el nombre del
usuario para determinar la identidad del mismo. El campo de tipo de datos
puede contener texto utilizado para colocar el usuario; la longitud de la
cadena es calculada en base al campo longitud del mismo paquete EAP.
Algunas implementaciones de EAP pueden tratar de ocultar la identidad del
usuario en la petición, incluso antes de enviar el challenge de autenticación.
Si el usuario no existe, la autenticación se rechaza y no se realiza ningún
procesamiento.
Código Tipo 2.- Notificación
El autenticador puede utilizar el tipo Notificación para enviar un mensaje al
usuario. Así el sistema del usuario puede desplegar este mensaje. Los
mensajes de notificación son utilizados para proveer mensajes al usuario
del sistema de autenticación, como por ejemplo un password a punto de
expirar.
Las respuestas deben ser enviadas como consecuencia de notificaciones
de petición. En todo caso, éstos sirven como simple confirmación, y el
campo de tipo de datos tiene longitud cero.
Código Tipo 3.- NAK
Son utilizados por el autenticador para sugerir a los usuarios un nuevo
método de autenticación, el autenticador envía un challenge codificado por
el código tipo. Si el usuario final no soporta el tipo de autenticación del
challenge, éste puede utilizar un NAK. El campo de tipo de Datos del
mensaje NAK incluye un byte que corresponde al tipo de autenticación
sugerido.
Los tipos de autenticación utilizados dependen de cada fabricante o
infraestructura, los más importantes son MD5, OTP, Token Card, LEAP,
TLS y TTLS. Sus códigos tipos correspondientes se muestran en ía tabla
2.5.
98
Código Tipo Número Descripción
Código Tipo 4
Código Tipo 5
Código Tipo 6
Código Tipo 13
Código Tipo 17
Código Tipo 21
MD5 Challenge
OTP One Time Password
Generic Token Card
EAP-TLS
LEAP
EAP - TTLS .
Tabla2.5 Tipos deEAPy su código correspondiente [13]
Los mecanismos de MD5, OTP y Token Card son sencillos de ¡mplementar y muy
populares en ambientes WAN. En cambio en ambientes WLAN los mecanismos
más utilizados son LEAP, EAP-TTLS y EAP-TLS, por lo que serán tratados más
adelante con mayor profundidad.
MD5 Challenge.- El mecanismo Message Digest 5 es descrito en el RFC 1321.
Es uno de los mecanismos más populares de autenticación, gracias a su fácil y
rápida implementación. Con MD5 el cliente recibe un desafío (challenge) que
debe ser codificado correctamente con una clave compartida, si esto ocurre el
cliente es autenticado.
OTP One Time Password.- El OTP es un método de autenticación remoto de
usuarios. En el esquema OTP el password nunca viaja por la red, evitando que
sea capturado durante su transmisión. Además en cada conexión el usuario utiliza
un password distinto (password que se usa una sola vez). Para conseguir esto
OTP opera de la siguiente manera:
El servidor envía un requerimiento al cliente que consta de una semilla aleatoria y
un número de secuencia de password. El cliente generador de OTP ingresa el
valor aleatorio recibido y el passphrase en una función hash generando un
99
password. Ei passphrase corresponde a una cadena almacenada en un
diccionario que se encuentra tanto en el servidor como en el cliente. Luego se
envía esta información al servidor. Si un atacante intercepta el valor aleatorio, no
es suficiente ya que no conoce el passphrase. Si intercepta un password de una
sesión anterior es inútil pues el password solo sirve una vez.
Generíc Token Card.- Es un tipo de autenticación OTP, con la diferencia que el
password es generado por un hardware externo; este hardware es un tarjeta
electrónica que tiene un algoritmo específico que se aplica al requerimiento del
servidor que se le ingresa por teclado. Nunca devuelve el mismo resultado.
Ejemplos de estas tarjetas son SecureID de Secure Dynamics y Cryptocard de
Cryptocard Corp. En la figura 2.35 se muestra una tarjeta Cryptocard.
-13 p
GHt4
CPIN
ABC2
DE?3
CUR ENT
Fig. 2.35 Tarjeta Cryptocard
Con el uso de este hardware se evita que los diccionarios de passphrase estén
almacenados en el cliente y el servidor, ya que la pérdida de confidencialidad de
los mismos comprometería todo el sistema.
c) Éxito y Fracaso en autenticación EAP
Luego de que el intercambio de EAP termina, el usuario puede haber tenido éxito
o fracaso en la autenticación. Una vez que el autenticador determina que el
intercambio de credenciales está completo, éste envía una trama con un código
de éxito (3) o de fracaso (4) al final del intercambio, como se indica en la figura
100
2.36. Muchas implementaciones permiten enviar varias peticiones antes de que la
autenticación falle, esto para permitir al usuario aplicar las credenciales correctas.
1 1 1CODE identificador
(bytes)
longitud
3 Éxito4 Fracaso
Fig. 2.36 Paquetes EAP Sitcces y Faihire [13]
d) Ejemplo de intercambio de EAP
Un ejemplo de intercambio de credenciales EAP se muestra en la figura 2.37.
Solamente se muestra el procedimiento de forma general pues las características
particulares dependen de cada tipo de EAP. El intercambio de EAP es una serie
de pasos empezando por una petición de identidad y terminando con un mensaje
de éxito o fracaso de autenticación.
1. El autenticador envía un paquete de Petición / Identidad para identificar al
usuario.
2. El sistema del usuario final toma la entrada, recolecta la identificación del
usuario, y lo envía en un mensaje Respuesta / Identidad.
3. Con el usuario identificado, el autenticador envía el challenge de
autenticación. En el ejemplo de la figura, en el paso 3, el autenticador
envía un reto MD5 al usuario en un paquete Petición / MD5.
4. Pero-el sistema del usuario final está configurado para utilizar token card
como mecanismo de autenticación, así que éste responde con un paquete
Response / NAK, sugiriendo el uso de Generíc Token Card al autenticador.
5. El autenticador entonces envía un challenge en un paquete Petición /
Generíc Token Card, junto con la secuencia numérica de la tarjeta.
101
(PAE)
FAPOI püi" - 1 t
' ?ii1
Autentlcador
1 Petición/Identidad
2 Respuesta/Identidad
3 Pet¡c¡ón/MD5
4 Respuesta/NAK
5 Petición/Generic Token Card
»6 Respuesta/Generic Token Card
<7 Petición/Generic Token Card
»8 Respuesta/Generic Token Card
410 Éxito
Fig.2.37 Intercambio SAP [}3J
6. El usuario escribe la respuesta, qué luego es enviada en un paquete
Respuesta / Generíc Token Card.
7. La respuesta del usuario no es correcta, así que la autenticación no es
posible. Sin embargo la implementación del autenticador EAP permite que
el usuario realice varias peticiones, así que un segundo paquete Petición /
Generíc Token Cardes enviado.
8. Una vez más el usuario escribe la respuesta, la misma que es enviada en
un paquete Respuesta / Generíc Token Card.
9. En un segundo intento, la respuesta es correcta, así que el autenticador
envía un mensaje de Éxito.
102
2.4.3.2. IEEE 8 02. Ix. Autenticación basada en puerto
Estándar del IEEE publicado en el 2002. El nombre completo del estándar es
Poii Based Network Access Control, Control de acceso a red basado en puerto.
Se basa en asignar puertos autorizados, mediante un autenticador y un servidor
AAA, a los usuarios.
En el esquema WLAN los puertos son conexiones lógicas entre el AP y el cliente.
A continuación se explica el funcionamiento de la infraestructura 802.1x y sus
herramientas de implementación.
a) Arquitectura y Nomenclatura del IEEE 802.Ix
El estándar define 3 componentes principales para e! proceso de autenticación. El
cliente (suplicanf), el autenticador y el servidor de autenticación. El cliente es el
usuario fina! que busca acceso a la red.
El autenticador controla el acceso a la red. Estas dos entidades se conocen como
Entidades de Autenticación por puerto (PAE's).
El autenticador solamente termina el intercambio de credenciales en la capa de
enlace, éste no conoce ninguna información sobre el usuario, ni realiza ninguna
validación sobre las credenciales.
Todas las peticiones son pasadas al servidor de autenticación, un servidor AAA
(Authentication, Authorízation apd Accounting) cualquiera, el estándar no
especifica alguno, sin embargo el más utilizado es el servidor RADIUS (Remote
Authentication Dial In User Service) para el caso de WLAN's.
Este servidor se encarga de la validación de las credenciales del usuario en base
a información almacenada en bases de datos locales o remotas. La arquitectura y
nomenclatura 802.1x se muestra en la figura 2.38.
103
(PAE) (PAE)
í- PAPO!ri c. rv r w L.I-
/p?..,, 'í
i
R A ni 1 1r%r\U' I LJOXr-i
i
i
Z3 i
||
Cliente Autenticador
Fig. 2.38 Arquitectura y Nomenclatura 802. lx [13]
Servidor deAutenticación
El proceso de autenticación se realiza de forma lógica entre el cliente y el servidor
de autenticación, con el autenticador actuando solamente como un puente. Entre
el cliente y el autenticador, se utiliza el protocolo EAP over LAN (EAPOL) o
también conocido como EAP over WLAN (EAPW). Entre el autenticador y e!
servidor se utiliza el protocolo RADIUS, también conocido como EAP over
RADIUS. Como se puede apreciar 802.1x es simplemente un marco de trabajo.
El mecanismo preciso de autenticación (LEAP, EAP- TLS, etc.) es implementado
por el servidor, 802.1x provee los mecanismos para el intercambio de
credenciales y la confirmación de acceso. Es por esto que cambiar el método de
autenticación no requiere cambios complejos en los dispositivos de usuario o en
la infraestructura de la red. Ahora que se conoce la arquitectura de trabajo de
802.1x, se debe describir el funcionamiento de ios protocolos que ayudan a su
implementación: EAPOL y RADIUS.
a) Encapsulación EAPOL
EAP es simplemente el encapsulamiento de EAP sobre los protocolos de red LAN
como el 802.11. El formato básico de una trama EAPOL se muestra en la figura
2,39.
> Cabecera MAC.- Contiene las direcciones MAC origen y destino.
> Tipo de Ethernet- Como cualquier tipo de trama Ethernet, ei EAPOL tiene
su código asignado que es 88 8EH.
104
> Versión.- Solo la versión 1 de EAPOL está estandarizada.
Cabecera MAC6 6 variable 4 (bytes)
MAC
Destino
MAC
Origen
Tipo de
EthernetVersión
Tipo
Paquetelongitud
Cue'rpo
del
paquete
Fig.2.39 Paquete EAPOL [13]
> Tipo de Paquete.- EAPOL es una extensión de EAP, y además de los
mensajes descritos para EAP, EAPOL añade algunos mensajes para
adaptar EAP a un ambiente LAN basado en puerto. En la tabla 2.6 se
muestran los tipos de paquete y su descripción.
> Longitud.- Este campo de 2 bytes contiene la longitud del campo cuerpo
del paquete en bytes. Es cero si el cuerpo del paquete no está presente.
> Cuerpo del paquete.- Este campo es de longitud variable, está presente en
todos los paquetes EAPOL excepto en los mensajes de Start y Logoff.
Éste encapsula un paquete EAP en tramas EAP- packet, las claves en
tramas EAP-Keyy una alerta en EAPOL-EncapsuIated ASF Alert.
> FCS.- Es una suma de comprobación (CRC) de la trama en su totalidad.
b) Ejemplo de intercambio 802.1x
El intercambio EAPOL es similar al de EAP. Las principales diferencias son que
el cliente puede generar tramas EAPOL- Start para disparar el intercambio
EAPOL y también puede utilizar tramas EAPOL - logoff para desautorizar el
puerto en el que la estación está utilizando la red.
105
Tipo de Paquete Nombre
0000 0000 EAP-Packet
Descripción
Contiene y encapsula un
paquete EAP.
0000 0001 EAPOL - Start En lugar de esperar un
challenge del autenticador,
el cliente puede enviar una
trama EAPOL - Start para
forzar a iniciar el proceso
de autenticación.
0000 0010 EAPOL -Logoff Cuando un sistema ya no
va a utilizar la red, envía un
paquete EAPOL- Logoff
para retornar el puerto a un
estado sin autorización.
00000011 EAPOL - Key Es utilizado para el
intercambio de información
criptográfica. En especial el
intercambio de claves.
00000100 EAPOL-Encapsulated
ASFAIert
El ASF Alerting Standard
Forum ha definido una
forma de enviar alertas,
como traps SNMP, para ser
enviados a un puerto no
autorizado usando este tipo
de paquete.
Tabla 2.6 Tipos de Paquetes EAPOL [13]
El caso más común de autenticación se muestra en ía figura 2.40. En principio el
puerto no está autorizado, así que el acceso a la red está bloqueado. Los pasos
típicos para el intercambio EAPOL son:
106
> El cliente empieza el intercambio 802.1x con un mensaje EAPOL- Start.
> El intercambio normal de EAP comienza. El autenticador contesta con una
trama EAP- Request/identfty.
ClienteAutenticaclor Servidor cíe
Autenticaciónl:EAPOL-SUrt
EAP - Request/ i
EAP- Response/ Identity
EAP - Request
EAP- Respome
EAP- Success
EAP- Logo £F
Radrus Access Requesfc
Radtus Access Challenge
Radíus Access Request
Radíus Access Accept
Fig. 2.40 Autenticación EAP [13]
> El cliente responde con un mensaje EAP- Response/ Identity, que es
pasado al servidor RADIUS como un paquete Radius Access Request.
> Et servidor Radius responde con un paquete Radius Access Challenge,
enviado al cliente como un EAP- Request junto con información apropiada
para el método de autenticación.
107
> El cliente captura la respuesta del cliente y envía un EAP-Response de
retorno. La respuesta es traducida por el autenticador en un Radius Access
Request con la respuesta al desafío en el campo de datos.
> El servidor RADIUS otorga acceso con un mensaje Radius Access Accept,
con lo que el autenticador envía una trama EAP-Success. Entonces el
Puerto es autorizado y el cliente puede empezar a utilizar la red. Todos los
servicios de la red empiezan a funcionar en este punto como DHCP, DNS,
etc.
> Si el cliente no fue autorizado a utilizar la red, éste envía un mensaje EAP
- Logoff para poner el puerto de regreso a un estado no autorizado.
c) RADIUS
Es el servidor AAA (Authentication, Authorízation and Accounting) ampliamente
utilizado en ambientes de red. El protocolo es utilizado por dispositivos de red
como routers, switches, puntos de acceso, etc. para comunicarse con un servidor
de autenticación RADiUS. Está definido en el RFC 2865 Remote Authentication
Dial In User Service. El éxito de este protocolo radica en las siguientes ventajas:
> Administración centralizada de sistemas complejos. Manejo de grandes
infraestructuras de clientes.
> Protección contra hackers que intenten capturar las credenciales de los
clientes autorizados.
> El soporte de RADIUS es general. Es consistente con todo el hardware y
software de los dispositivos de red del mercado.
> Ofrece compatibilidad para varios tipos de autenticación, facilitando que los
fabricantes puedan desarrollar sus mejoras sobre una base estándar.
108
> RADIUS es actualmente el estándar de-facto para autenticación AAA.
> Compatibilidad con sistemas antiguos (legacy).
c.l) Funcionalidades del Servidor RADIUS
RADIUS es ofrece administración centralizada de la Autenticación, Autorización y
Registro de la actividad de los usuarios conectados en la red,
> Autenticación: Es el proceso mediante el cual se decide si el usuario es o
no quien dice ser; así mismo se define si está autorizado o no para el
ingreso a la red, esto se hace validando las credenciales del usuario.
> Autorización: En este proceso se define a qué recursos de red puede
acceder el usuario y se limita el tiempo que puede estar conectado en ia
red.
> Registro de actividad; En este proceso se generan archivos (Logs) que
graban los datos que describen cada conexión de red, es usado
normalmente para facturación, diagnóstico y planeamiento de la expansión
de la red.
Toda la información de seguridad de los usuarios está centralizada en uno o más
servidores RADIUS; el sistema RADIUS soporta configuraciones de "múltiples
sitios / sedes" y "múltiples dominios / organizaciones", así mismo soporta el
"Roaming" de usuarios.
El servidor debe tener acceso a una base de datos con la información de cada
usuario, perfiles de red para un usuario o grupo de usuarios, políticas de
seguridad y el nivel de acceso a los recursos de la red y aplicaciones que le
corresponden.
109
Estas bases de datos pueden estar almacenadas Idealmente en el mismo
servidor RADIUS o estar ubicadas en servidores de bases de datos remotos.
La compatibilidad con el tipo de bases de datos depende de la implementación
específica del servidor RADIUS. Por ejemplo existen servidores comerciales como
el Steel Belted Radius 4.0 de la empresa Funk Software que ofrece compatibilidad
con bases LDAP1 y SQL. El servidor Odyssey Se/verde la misma empresa ofrece
en cambio compatibilidad con la base de datos de Windows administrada en el
Active Director/.
Cisco ofrece varios tipos de servidores RADIUS para plataformas Windows y
Unix con su producto comercial ACS Cisco Secure Access Control Server.
El soporte del servidor RADIUS para los diferentes tipos de EAP existentes
depende también de la implementación comercial dei mismo. Por ejemplo el
Servidor RADIUS de Windows 2003 Server da soporte principal a EAP - TLS,
aunque también maneja otros tipos de EAP.
Al momento de elegir un servidor RADIUS se debe establecer la compatibilidad
con el hardware de la WLAN. Para verificar esto se debe revisar la documentación
del servidor y establecer claramente sus funcionalidades y soporte para el
hardware inalámbrico.
c.2) Funcionamiento del servidor RADIUS
En el esquema de AAA de RADIUS los puertos de red de un dispositivo de
acceso normalmente se encuentran en el estado "desautorizado" y sólo pueden
pasar el tráfico explícitamente permitido por el RADIUS.
Típicamente este tráfico está limitado a las funciones de autenticación y el resto
de aplicaciones quedan bloqueadas incluso los algoritmos de DHCP usados para
1 Protocolo de Acceso Ligero a Directorio
110
la asignación de direcciones IP no se puede transmitir hasta que los datos del
usuario sean validados.
Sólo cuando el usuario está validado et tráfico puede pasar libremente desde y
hacia el usuario.
Muchos servidores RADÍUS comerciales ¡mplementan funcionalidades adicionales
que facilitan la administración de los usuarios. Puede definir atributos lógicos
como los días de la semana donde el acceso es permitido, la duración de la
conexión, el número de sesiones que se pueden abrir con el mismo nombre de
usuario, etc.
c.3) Formato del paquete RADIUS
RADIUS define el formato de paquete que se utiliza para el intercambio de
información de autenticación entre el autenticador y el servidor. Este
encapsulamiento se conoce también como EAP over RADIUS. El formato se
muestra en la figura 2.41.
1 1 2 (bytes)
Código Identificador Longitud
Autenticador
Atributos
Fig.2.41 Paquete RADIUS [13]
El campo código establece el tipo de paquete, en la tabla 2.7 se muestran los
valores correspondientes al tipo de paquete y su descripción.
El campo identificador es de un byte de longitud, permite al cuente RADIUS
asociar la respuesta RADIUS con la respectiva petición.
El campo longitud de 2 bytes contiene la longitud de todo el paquete RADIUS, por
lo que incluye la longitud los campos de Código, Identificador, Longitud,
111
Autenticador y Atributos. El campo autenticador es de 2 bytes de longitud. Este
valor es utilizado para autenticar las respuestas del servidor RADIUS.
Valor
1
2
3
4
5
11
12
13
255
Paquete
Access-Request
Access-Accept
Access-Reject
Accounting-Request
Accounting-Response
Access-Chalienge
Status-Server (experimental)
Status-Ciient (experimental)
Reserved
Descripción
Petición de acceso de un
cliente
Petición aceptada
Petición rechazada
Petición de Registro
Respuesta de Registro
Desafío de acceso para
autenticación del cliente
Reservado
Reservado
Reservado
Tabla 2.7 Valores del campo Code [13]
La sección de atributos se tiene cuando un número arbitrario de campos de
atributos son almacenados. Por ejemplo en ei caso más simple sería el Username
y el Password del cliente.
c.4) Manejo de llaves
Una vez que la autenticación fue exitosa el servidor RADIUS debe manejar la
generación y entrega de la clave criptográfica de sesión WEP para el cliente
WLAN. Estas llaves son generadas de forma aleatoria mediante algoritmos
112
específicos de la impiementación del servidor. Esta clave se entrega al AP que a
su vez ie envía al cliente en mensajes EAPOL - Key.
2.4.3.3. LEAP
LEAP (Ligthweight EAP) ó EAP-Cisco Wireless se basa en autenticación por
nombre de usuario y password. Es un protocolo propietario de Cisco que cumple
con el estándar 802.1x. Soporta plataformas Windows, Macintosh y Linux tanto
para el servidor como para los usuarios WLAN.
a) Características técnicas
Ai ser un protocolo propietario de Cisco, se requiere que toda la infraestructura
de la WLAN sea Cisco, esto es AP's y tarjetas inalámbricas. En el lado del cliente
se debe tener un utilitario de software que maneje el proceso de autenticación,
este utilitario puede ser propio del sistema operativo o software de CISCO como
el ACU Aironet Client Utility. Para la impiementación del servidor RADIUS se
tienen 3 opciones:
> Servidor RADIUS Comercial, desarrollado por empresas de software
privadas para diversas plataformas.
> Servidor CISCO ACS Access Control Se/ver, propietario de CISCO para
plataformas Windows y Unix.
> Servidor FreeRadius, software gratuito para plataformas Linux
El proceso de autenticación se realiza en base a usemame y password, datos que
se almacena en la base de datos del servidor RADIUS. A continuación se
describe el funcionamiento de LEAP.
113
b) Funcionamiento de LEAP
Una secuencia de intercambio de autenticación típica de LEAP consiste en los
siguientes paquetes, encapsulados en los protocolos EAPOL y RADIUS descritos
anteriormente.
1. El cliente (software utilitario) genera un challenge response a través del
algoritmo de LEAP (conocido sólo por Cisco) con su password. Este
challenge response es enviado junto con su username al AP mediante
encapsulacíón EAPOL. Debe notarse que el password nunca se transmite
sobre la red.
2. El AP envía esta solicitud al Servidor mediante encapsulación RADIUS.
3. El servidor recibe la petición y busca el nombre del usuario y su password
en su base de datos, luego utiliza el algoritmo de LEAP y el password del
cliente para generar su propio challenge response. Si el password enviado
por el cliente y el de la base de datos del servidor son idénticos, el
challenge response también será idéntico y el acceso será otorgado. El
servidor envía la respuesta positiva al AP.
4. El AP pasa estos datos al cliente y le indica que la autenticación fue exitosa.
5. Ahora es el turno del cliente de autenticar la WLAN a la que se conecta.
Envía un challenge de 8 bytes aleatorio al AP generado con su password y
el algoritmo de LEAP.
6. El AP pasa estos datos del cliente al servidor.
7. El servidor genera la respuesta al challenge y envía la clave de sesión
WEP para la encripción de los datos del usuario.
8. El cliente verifica el desafío para autenticar la red, si fue correcto, con la
clave WEP enviada por el servidor empieza a transmitir sus datos ai AP.
114
Como se puede apreciar el password no viaja por la red por lo que no puede ser
interceptado y robado.
c) Ventajas de LEAP
> Fácil y relativamente rápido de implementar.
> Autenticación mutua, del usuario y la red entre sí.
> Se tiene gran soporte de CISCO, en software, hardware, documentación y
corrección de problemas.
> Muy difundido y popular en el mercado.
> Al ser un protocolo propietario de Cisco, los algoritmos de generación del
challenge no son públicos.
> No requiere de infraestructura de clave pública y de certificados digitales.
d) Desventajas
> Solo funciona sobre infraestructura Cisco pues es un protocolo propietario.
> Es susceptible de ataques de diccionarios como todo mecanismo de
autenticación porpassu/ord.
2.4.3.4. EAP-TLS
EAP - TLS está definido en el RFC 2716, es un protocolo desarrollado por
Microsoft que permite a los usuarios autenticarse mediante el uso completo de
115
certificados digitales con el estándar X.509. Además el intercambio de
credenciales se realiza sobre un túnel seguro mediante TLS (Transport Layer
Securíty), haciendo difícil que la información de autenticación del usuario sea
capturada.
Fue diseñado para ser implementado en sistema operativo Windows XP que tiene
un cliente de software para EAP-TLS, por lo que originalmente sólo se podía
utilizar plataformas Microsoft para los certificados digitales. Sin embargo luego de
la publicación del RFC, muchos fabricantes trabajaron en la implementación de
EAP-TLS, a más de Microsoft, logrando un buen desarrollo por lo que
actualmente se tiene una variedad de opciones para diferentes plataformas.
a) Características técnicas
EAP - TLS utiliza la infraestructura de clave pública para la autenticación mutua
entre el usuario y la WLAN. Esto implica que tanto el cliente como el servidor
deben tener certificados digitales autorizados debidamente instalados. El utilizar
infraestructura de clave pública y certificados digitales implica mayor complejidad
del servidor RADIUS y mayores costos de implementación y administración de la
WLAN.
b) Funcionamiento de EAP - TLS
A continuación se describe ei proceso de acceso a la WLAN mediante EAP - TLS
que consta de 3 fases:
b. 1) Fase de autenticación
La primera fase funciona siguiendo el estándar IEEE 802.1x, es decir, cuando el
cliente entra en el área de cobertura del AP, éste le pide su identidad, y el cliente
se la proporciona (de forma plana). Tras esta fase inicial se realiza el proceso de
establecimiento de conexión TLS entre los extremos (el protocolo TLS se explica
en el anexo 1), donde según el estándar tanto el cliente como el servidor se
116
autentican mutuamente mediante certificados X.509 y negocian los parámetros de
configuración necesarios para establecer ei canal de comunicación seguro.
Configuracéifl-l-Túnel TLS
Fig.2.42 Canal Seguro TLS
Una vez terminada la negociación, se establece un cana! TLS entre el cliente y eí
servidor de autenticación basado en la posesión por ambas partes de un secreto
compartido (Master Secref) que posteriormente se utilizará para derivar la clave
de sesión WEP.
b.2) Fase de autorización
En esta fase el cliente indica al servidor de autenticación cuál es el tipo de
conexión que desea en cuanto al ancho de banda requerido y el tiempo que va a
estar conectado, junto con los certificados que demuestran que está autorizado a
realizar el uso de la red .
Entonces el servidor evalúa los certificados y comprueba su validez, si todo es
correcto y el nivel de privilegios del cliente es el necesario, lo autoriza. Por el
contrario lo desautoriza al cliente para acceder a la red sí hay algún problema.
Algo importante de diferenciar es que de esta forma no es necesario acceder a
ninguna base de datos de usuarios para comprobar los permisos de los mismos,
sino que sólo se necesita confiar en las entidades emisoras de dichos certificados
de autorización.
Los parámetros del cliente se mandan en una estructura firmada, de manera que
ei servidor de autenticación pueda estar seguro de que nadie ha modificado estos
parámetros. Además, toda la información relativa a la autorización del cliente,
parámetros y certificados, se manda a través del canal TLS establecido
anteriormente, de manera que solo pueden haber sido enviados por parte del
cliente con el que se ha iniciado el proceso de conexión.
117
Dicha estructura contiene el certificado del cliente con el que se ha realizado la
firma para que eí servidor pueda verificar que la firma es correcta. En el mensaje
mediante el cual el servidor ie pide al cliente sus parámetros de conexión, se
incluye un identificador de 4 bytes aleatorio, que posteriormente se utilizará para
derivar la clave WEP junto con la dirección MAC del punto de acceso y la clave
maestra de la conexión TLS anteriormente establecida.
b.3) Fase de distribución de clave
En esta fase del protocolo, únicamente participan el punto de acceso y el servidor
de autenticación, y consiste en que este último le pase al primero un descriptor de
ia clave WEP que debe utilizar con el cliente, así como el tipo de servicio que el
cliente espera que se le ofrezca.
Esta clave WEP la habrá generado el servidor, como resultado de una función de
resumen digital MD5 aplicada sobre la clave maestra generada por EAP-TLS, la
dirección MAC del punto de acceso, y los 4 bytes aleatorios generados por el
servidor anteriormente.
Por su parte, el punto de acceso debe comprobar que en su situación actual
puede soportar las necesidades del nuevo cliente, es decir, debe comprobar que
la suma total del ancho de banda necesitado por todos ios usuarios que
actualmente hay conectados, junto con el requerido por el nuevo cliente, no
sobrepase su capacidad. Adicionalmente comprueba que vaya a estar disponible
el tiempo que el cliente requiere; informando al servidor de autenticación sobre la
decisión que tome.
Tras estas fases, el proceso de conexión ha terminado, y si todo se ha realizado
correctamente, el servidor de autenticación notifica al punto de acceso la
autorización por su parte, a que el cliente haga uso de la red.
El punto de acceso traslada entonces al cliente esta decisión para que inicie la
comunicación. El cliente, que habrá generado la misma clave WEP que obtuvo el
punto de acceso, puede comenzar a hacer uso de la red, con la garantía de que
118
sus mensajes son sólo descifrables por el punto de acceso, dado que la clave
WEP generada es distinta para cada usuario.
c) Ventajas de EAP - TLS
> Fuerte autenticación mutua basada en certificados X.509.
> La sesión TLS provee seguridad adicional en ei intercambio de
credenciales,
> Actualmente la solución más segura de seguridad para WLAN's.
d) Desventajas de EAP - TLS
> La solución EAP —TLS es difícil de gestionar pues se requiere un Autoridad
Certificadora para el soporte de los certificados X.509 y su respectiva
instalación y mantenimiento en el servidor y clientes.
> Implica más costos de implementación y administración, debido a que el
servidor RADIUS es más complejo y debe manejar TLS. Además los
certificados del servidor y los clientes implican también costos adicionales.
> Al momento no es una solución muy popular para WLAN. Los
administradores son reacios a su uso debido a la gran infraestructura que
implica su implementación.
2.4.3.5. EAP-TTLS
Protocolo desarrollado por las empresas Funk Software y CERTICOM, permite a
los usuarios autenticarse mediante nombre de usuario y contraseña, pero con
intercambio de password vía un túnel seguro TLS. Para la autenticación
solamente requiere que ei certificado digital sea distribuido al servidor, y no a los
119
clientes, por lo que no es necesario mantener una infraestructura compleja de
administración y distribución de certificados en los usuarios.
a) Características técnicas
Es un protocolo libre, que puede ser implementado en base a su RFC el 2716 por
cualquier fabricante. Utüiza autenticación por username y password pero primero
establece un túnei seguro entre el cliente y el servidor para el intercambio de esta
información. Ofrece autenticación mutua, credenciales de seguridad y generación
de llaves dinámicas por sesión.
Para la autenticación de los servidores RADIUS se requiere que tengan instalado
un certificado digital debidamente autorizado por una Autoridad Certificadora.
Para la autenticación por password permite el uso de CHAP, PAP, MS-CHAP y
MS-CHAPv2.
b) Funcionamiento de EAP - TTLS
Funciona de forma similar a EAP-TLS, excepto que para la autenticación del
usuario se la realiza mediante username y password. Para la autenticación del
servidor se sigue utilizando cerificados X.509.
c) Ventajas de EAP'- TTLS
> Es más sencillo de instalar y gestionar comparado con EAP-TLS, ya
que no requiere Certificados en el Cliente.
> Permite compatibilidad con varios tipos de bases de datos.
> No existe peligro de ataques de diccionario, ya que las credenciales
del usuario viajan sobre el túnel TLS establecido, incluso la identidad
del mismo.
120
d) Desventajas de EAP - TTLS
> Requiere un certificado digital otorgado por una autoridad
certificadora, correctamente instalado en el servidor, lo que implica
mayores costos.
2.5. COMPARACIÓN DE LOS ESTÁNDARES DE SEGURIDAD
PARA REDES INALÁMBRICAS
Una vez que se tiene claro el funcionamiento, ventajas y desventajas, así como la
implementación de los más importantes mecanismos de seguridad en WLAN's, se
debe proceder a establecer una comparación entre los mismos. En la tabla 2.8 se
muestra un cuadro comparativo de los mecanismos WEP (más mejoras WPA),
LEAP, EAP- TLS y EAP - TTLS. De esta tabla se puede obtener algunas ideas
importantes. EAP-TTLS y EAP-TLS implican ei manejo de certificados digitales y
el establecimiento de sesiones seguras TLS, lo cual implica mayor complejidad en
ei servidor RADIUS y mayores costos.
La solución WEP es la más económica de todas pues no requiere ningún
hardware o software adiciona!, sin embargo, es la solución más débil de todas y
solo se debe utilizar en pequeñas empresas y hogares. La solución LEAP es la
más común para WLAN's de pequeñas y grandes empresas, gracias a que ofrece
la mejor relación costo-beneficio para una WLAN segura.
Ahora que se tienen las ventajas y desventajas de los diferentes mecanismos de
seguridad en redes inalámbricas, se puede elegir el adecuado para una solución
práctica. El decidirse a utilizar un mecanismo específico de seguridad depende de
varios factores, como por ejemplo: el tamaño de la WLAN, las necesidades de la
empresa, el factor económico, etc. En fin, dependiendo de la necesidad específica,
se debe elegir el método adecuado. En las conclusiones finales del presente
trabajo se desarrolla un análisis sobre el tipo de mecanismo de seguridad más
adecuado para cada escenario.
121
Tema WEP
Solución de
seguridad
Certificados en
el Cliente
Certificados en
el Servidor
Intercambio de
claves
dinámicas
Autenticación
mutua
Plataformas de
cliente
soportadas
Servidor de
Autenticación
implementado
por
Protección de la
identidad del
cliente
Nivel de solución
empresarial
Costo de
ímplementación,
mantenimiento y
administración.
Estándar
No
No
No
No
Linux,
Windows y
Mac.
N/A
No
Pequeña
Bajo
LEAP EAP -TTLS ! EAP - TLS
Propietaria
(cisco)
No
No
Si
Si
Linux, Windows
y Mac.
CISCO
(Cisco vende
el motor de
LEAP a otras
empresas de
software)
No
Mediana -
Corporativa
Medio
Estándar
No
Si
Si
Si
Linux, Windows
y Mac.
Funky
Meetinghouse
Si (mediante
TLS)
Mediana -
Corporativa
Medio -Alto
Estándar
Si
Si
Si
Si
Linux,
Windows y
Mac.
CISCO, Funk,
HP,
Free Radias,
Meetinghouse
y Microsoft
No
Corporativa
Alto
Tabla 2.8 Canal Seguro TLS
122
3. SOLUCIÓN PARA UNA RED LAN INALÁMBRICA
SEGURA DE PEQUEÑA ESCALA CON WEP
En este capítulo se presenta una guía de implementación de seguridad en una
red LAN inalámbrica de pequeña escala utilizando el protocolo WEP. Para ello se
describen los diferentes aspectos a considerar en la solución WEP, se define un
escenario común para redes inalámbricas y se diseña la solución para su
implementación.
3.1. GENERALIDADES DE LA SOLUCIÓN CON WEP
Para la implementación de seguridad en una WLAN con WEP se tienen presentes
sólo 2 componentes: el Access Point y las tarjetas inalámbricas de los clientes,
presentándose e! escenario común de la figura 3.1.
WEP
WEP ' WEP
Fig. 3.1 Red WLAN con segundad WEP
Los usuarios para asociarse a la red, simplemente necesitan sus tarjetas
inalámbricas y el respectivo software de manejo de WLAN's, Mediante este
123
software se deben configurar los parámetros de seguridad WEP que la red utiliza,
como la clave compartida, tipo de autenticación, etc. Si ios parámetros de
segundad WEP o la clave compartida del cliente no corresponden a los de la
WLAN, no se podrá establecer la asociación.
Además para que WEP sea más fuerte contra ataques, se debe considerar el uso
de las herramientas adicionales como el TKIP y el MIC (mejoras de WPA).
Sin embargo, la seguridad WEP por si sola no es suficiente ya que se deben
implementar políticas de seguridad adicionales como accesos restringidos al AP,
filtros MAC, etc.
3.2. DESCRIPCIÓN DEL PROBLEMA
Un escenario muy común es el siguiente. En una empresa mediana se desea
proveer de cobertura inalámbrica a la recepción, oficinas y sala de reuniones,
para así evitarse tender cableado en instalaciones que son alquiladas.
Además se tienen planes de movimiento de oficinas hacia un edificio propio, por
lo que invertir en cableado no es una buena idea. La empresa también no desea
invertir en gasto adicional para la seguridad de la WLAN.
Para la solución del presente problema se asume que se tiene el mapa de sitio de
la figura 3.2, donde se aprecian las áreas que requieren cobertura (el área cero es
una bodega de limpieza y no requiere de cobertura). Además se debe recalcar
que las divisiones de oficinas son simplemente de madera y a una altura de 1.6
metros del suelo, por lo cual las señales RF no tendrán ningún problema en cubrir
esta zona. En total el área a cubrir es de aproximadamente 5000 m2.
Se tienen aproximadamente un total de 10 usuarios inalámbricos que podrían
estar conectados al mismo tiempo a la red, utilizando principalmente correo
electrónico, Internet y accediendo a carpetas compartidas en servidores.
124
60 m 25 m
Fig. 3.2 Área que requiere servicio inalámbrico
En la figura 3.3 se presenta el diagrama de red de la WLAN, con su respectivo
direccionamiento IP. En la figura se tienen las estaciones, el AP y el servidor
proxy1 de la red.
Servidor FroTiyIP 192.168.10. 2Máscara 255.255.255.0
IP 192.168.10.1Máscara 255.255.255.0
Estaciones
Red 192.163.10.0
Máscara 255.255.255.0
Fig. 3.3 Diagrama topológico de la red
1 Servidor para acceso a Internet
125
De acuerdo a este escenario se deberá plantear la solución de conectividad.
3.3. BOSQUEJO DE LA SOLUCIÓN
La solución de seguridad con WEP requiere de la configuración de la clave
secreta en el AP y en ios clientes.
Además de esto se requieren establecer mecanismos de seguridad adicionales
como accesos protegidos, filtros MAC, etc. Para la imp.lementación se tiene un AP
'CISCO de la serie 340 con 2 antenas dipolares, como el que se muestra en la
figura 3.4. Las características técnicas de este equipo se indican en el Anexo 2.
Energía
Puerto ethernet 10/100
Fig. 3.4 AP 340Aironet CISCO [J4J
De acuerdo al Anexo 2, el AP 340 con sus 2 antenas dipolares de tipo
omnidireccional1 son suficientes para cubrir el área de cobertura requerida. En
ambientes indoor la cobertura del equipo llega hasta los 300 m de radio.
1 Propagación de las ondas de radiofrecuencia en todas las direcciones
EliJCommand Prompl - Telnet 1040.10.1ñPTesis
*=*=»= CExpress Setup I13-13
EDefaulüs AssociationsÜ
CProtocol Filfcevsl
Setup
132
m
EDefaults Euen fcü
CConsole/TelnefciJ[Time Server3CCisco S
flssociationsEftddress Filfcei*s3[Fort flssignnenfcíi3C U L f i N ]
Euent Lo<jCEuent HandlingO
Sei^vicesCBoot SeimerJ CJÍouting]CFTP3 EWeb SeruejOCSecuritjy] Ef t ccounc ingÜ
Upfcime: 00:36:50
Cfiduancedí
CSei-uice SetsÜ
CNotiFications]
CName Seruei»!CSHMP3
Flobile IP3
U
Cid Efchei*net3Cid rtP Radio]
Netwoi'k Poi'tsCHw Efclie>-net3 CFlfcr Ethei-nefc3CHw nP Kadio3 CPlfcr nP fiadiol
= CBiagnos tics 3 =ICfldu Ebhei-net3Cfldu nP Radio 3
CHone3 - CNetworlO - Cfissociations3 - Setup - CLogs3 - CHelp3- End oí Page -<fluto npply On> :Back, ^R, «•„ -CPuto flpplii On> :Bacl<, ^R, =, -, <ENTER>, oí* CLink Text3:
Fig. 3,11 Acceso vía Telnet alAP 340 Áironet CISCO
3.4.1.3. Acceso vía Web
Es la forma más interactiva y sencilla de configurar y realizar cambios ai AP,
principalmente por la ¡nterfaz interactiva que muestra al administrador y por la
facilidad de acceso remoto que ofrece. Para acceder vía Web al AP se dígita la
dirección http://10.10.10.1 en un browser como el Internet Explorer de Windows,
luego de lo cual se despliega la pantalla indicada en la figura 3.12.
5 APTcsis Summary Status - Microsoft Internet Expl«í%*
File Edlt Vfew Favoritas Tools Help
Addtess jjg) hbtp://lD.ia.l0.1/index.shm
Unks íS£jGi ^Search th« Web with Lycos í^JIBM Business Transformaron Interna! Help
APTe,is Summary Status
0*««AM<° 12JBT _________ _ _________
1 femé MS&1 Networh ] " Aa£g¿Stions. "3 ; La£S, ] He^T] Uptím e: 00^53:46
Current AssociatfonsClientsrlofl j Receaters: 0 of 0 j Bridees: 0 of 0 j APs: 1
Recent EventsTime j S eveiity; j Uescriptíoii
N etWO rk P o lis Diaxnostics
Device
EthernetAPRadio
StatusUp
Up
Mb/s100.011.0
IPAddr.10.10.10.110.10.10.1
MAC Addr.0010963 667ad
OO1O9S3667ed
Ciico AP3*0 12.03T « Copyií^a.300^ cifí° ^y^f.^i
Fig. 3.12 Acceso vio Web alÁP 340 Áironet CISCO
133
Se despliega la pantalla de inicio Home en la que se visualiza el estado del AP, un
registro de eventos y el menú principal para acceder a las diferentes utilidades del
software de configuración del AP. Gracias a la versatilidad de la configuración vía
Web, los posteriores cambios se realizarán bajo este esquema.
3.4.1.4. Configuración Básica del.AP CISCO 340 vía Web
Los parámetros básicos que se deben configurar en el AP son los siguientes:
> Nombre
> SSID
> Dirección IP, Máscara de red y Default Gateway
> Modo de Funcionamiento
> Comunidad SNMP
El nombre del AP es simplemente un parámetro de identificación del AP, y no
influye en el funcionamiento o desempeño del mismo. Sirve simplemente para
hacer más fácil la tarea de administración de la WLAN, ya que si se tienen varios
AP's, el nombre puede tener información sobre el modelo, ubicación física, etc. En
este caso el nombre de! AP va a ser AP340ecenter, que hace referencia al
modelo y ubicación del AP.
El SSID es el identificador de la WLAN, en este caso el SSID seleccionado es
IxWLAN. La dirección IP del AP es la 192.168.10.1 con máscara de red de
255.255.255.0. El default Gateway es 192.168.10.2. Como se asigna una
dirección IP estática al AP, el servicio DHCP se debe deshabilitar.
El AP puede funcionar en tres modos:
> AP raíz .- Concentrador de usuarios inalámbricos
> Repetidor.- Reenvía los paquetes que llegan a un AP raíz
> Cliente de supervisión.- Cliente de pruebas
134
Para que pueda dar cobertura a una WLAN el AP debe estar en modo raíz. La
comunidad SNMP indica el grupo administrativo ai cual pertenece el AP, en el
problema actual la comunidad seleccionada es root
Un resumen de estos parámetros de configuración se muestra en la tabla 3.3
Nombre del parámetro
System ÑameAP340ecenter
Confíg Server Protocol (DHCP)Non e
IP192.168.10.1
Máscara255.255.255.0
Default Gateway192.168.10.2
SS1D IxWLAN
Role Access Point/Root
SNMP Community root
Tabla 3.3 Parámetros finales delÁP
Para configurar todos estos parámetros se ingresa a Setup y iuego a Express
Setup del menú principal, con lo que aparece la pantalla de la figura 3.13. Aquí se
cambian los parámetros predeterminados por los mencionados anteriormente,
obteniendo como resultado la pantalla de la figura 3.14. Luego se da clic en Apply
y los cambios se ejecutan.
135
is Express Setup
Cisco AP34012JJ3T
System Ñame:
MACAddress:
C onfíguration jjerver Proíocoi:
DefauítIPAddress:
DefaultIPSubnetMask:
Defauít Gateway:
AP Radio:
Service Set ID (SSID):
Role in Radio NetworlcOptimize Radio Hetwork FonEnsure Compatibilíty "Wlth:
Security Setup
SNMPÁdmin. Communiíy:
JAPTesis
00:40:96:36:67:ad
IDHCP10.10.10.1
|255.255.255.0
(255.255.e55.255
tsunamí
C i s c o S Y S T E M S
Uptime: 06:0238
¡ Ro ot Access Point ^j
í7" Throughput (*• Range r Customr2Mb/sec Clients rnon-Aironet802.11
foot
Re store Deíaults
AP340ecenter
Cisco AP34012D3T
System Ñame:
MACAddress:
Confíguratíon Server Pr oto col:
DefauítIPAddress:
DefaultlP SubnefcMaslc
Default Gateway:
AP Radio:
Service Set ID (SSID):
Role in Radio NetworkOptimize Radio Network FonEnsure Compatibilíty'Wiíh:
Security Setup
SNMP Admin. Gommurñty;
Fig. 3.13 Express Setup
Setllp
[APS^Oecetiier
00:40:96:36:67:ad
|None
|l 92.1.68.10.1
|255.255.255.0
|l 32.168.10.2
C i s c o S Y S T E M S
Uptime: 06:49 JO
| Rooí Access Point jjí7" Throughput C Range C CustomP2Mb/sec CHents rnon-Aironet802.il
root
Rssiore Deíaults
Fig 3.14 Express Setup modificado
136
3.4.2. ACTUALIZACIÓN DEL FIRMWARE DEL AP 340 CISCO
La actualización del firmware es importante debido a que se corrigen posibles
agujeros de seguridad de versiones anteriores y además se añade nuevas
funcionalidades al equipo. La última versión de firmware disponible para este
equipo se la puede descargar del siguiente enlace del fabricante
http://www.cisco.com/public/sw-center/sw-wireless.shtmi. La versión más reciente
de firmware es la 12.04.
La versión actual del AP se puede visualizar en la parte superior izquierda de la
pantalla de configuración, en este caso la versión es la 12.03, tal como lo indica la
figura 3.15.
AK40ecenter Summary Status
CurrentAsso<Clients: 0 of 0 jEtepeaters: 0 of 0
Fig. 3J5 Versión del Firmware delAP 340 Aironet CISCO
Cisco provee un utilitario para la actualización del firmware al cual se accede
ingresando a Setup -> Cisco Services -> Through Browser, luego de lo cual se
despliega la pantalla mostrada en la figura 3.16.
AP34Gecenter "Üpdate AUFinnwareXhrough Browser
Cisco AP340 12D3T
Gurrent Versión of System Hrmware:Current Versión ofWeb Pages:Gurrent Versión of Internal Hadio Firmware:
Retrieve All Hrmware Files
Hew File for Al! Firmware:
1 2. 0312.035.20TJ
Uptime: 10:42:41
Browse..,
Browser Update Now
Fig. 3.16 Actualización de Firmware del AP 340 Aironet CISCO
137
Mediante la opción Browse se ubica el archivo con extensión .img que contiene ei
firmware actualizado y se da un clic en Browser Update Now. Este proceso se
indica en la figura 3.17.
!Retrieve AJÍ Firmware FÜes
Hew File for All Firmware: |C:\Ternp\AP340vl StHimg Browse...
Browser Update Now Done.
Fig. 3.17 Actualización de Firmware delÁP 340 Aironet CISCO
Una vez finalizado ei proceso, el AP reinicia con el nuevo firmware mostrando la
pantalla Home de la figura 3.18.
A3?340eceiiter Summary Status C i s c o S Y S T E M S
Cisco AP340 12D4
Current Associations \: 0 of 0 |H.epeaters: 0 of 0 Biidses: 0 of 0 | APs: 1
Recent EventsTime [ Severity Description :
Network PortsDesrice Sta
Bthernet "C
AP Radio U
tus Mb/s
p 100.0
p 11.0
IPAddr.
192.168.10.1192.168.10.1
Dia.Knostics
MAC Áddr.
OG10963667ad :
00109 63 667ad
Fig. 3,18 Actualización de Firmware del AP 340 Aironet CISCO
Debe notarse que en la parte superior izquierda aparece 12.04 en lugar del 12.03
anterior. Una ventaja de la actualización del firmware es que no afecta la
configuración del AP.
3.4.3. CONFIGURACIÓN DE MEDIDAS DE SEGURIDAD GENERALES EN EL
AP340 CISCO
Se tiene que aplicar medidas de segundad adicionales al mecanismo de
autenticación, encripción e integridad que se está utilizando, estas medidas
incluyen por ejemplo, restringir la configuración del AP solo para el administrador,
138
eliminar e! broadcast del SSID, configurar filtros MAC, etc. A continuación se
presenta la configuración de estas políticas de segundad en el AP.
3.4.3.1. Creación de Usuarios para Acceso Restringido al AP
Cualquier persona puede ingresar vía consola al AP y realizar cambios, además,
si se conoce la dirección IP del AP, también se puede acceder de forma remota
vía Web y mediante Telnet. Para evitar esto se puede configurar usuarios con
diferentes niveles de acceso al AP. Cada usuario tendrá su respectivo password
para acceder mediante consola, Telnet y vía Web. Para crear usuarios se ingresa
desde la página Home a Setup -> Securíty -> User Information, en la pantalla
mostrada en la figura 3.19.
AK40ecenter User Information
_ _ _Uptíme: 1 day, 13:42:51
User Ñame Write SKMP Ident lirmware Admitíroot x x x x x
•Ádd-New:Üser
Fig. 3.19 Administración de Usuarios
El usuario predeterminado es roof que tiene todos los permisos de configuración,
estos permisos se pueden modificar dando un clic sobre el nombre del usuario en
la pantalla mostrada en la figura 3.20.
User Managementuser ñame: ¡rooí :change password:
new password |
confirm password |capability settíngs:
"Write SHMP Ident Firmware Adminp" )?" p" |7 R"
Reset Apply
Fig. 3.20 Pantalla de configuración de Usuario
139
Este usuario no tiene definido un password por lo que se debe configurar uno, se
llenan los dos espacios correspondientes con el password seleccionado y se
aplican los cambios con Apply.
Ahora se debe añadir un usuario que solamente pueda ver la información del AP
esto para fines administrativos, como por ejemplo ver estaciones asociadas, logs,
etc. Se ingresa desde el Home a Setup -> Securíty -> User Information -> Add
New User, a la pantalla de la figura 3.21, y en ella se habilita la opción admin tal
como lo muestra la figura 3.22.
User Managementuser ñame: )change password:
new password |
confirm password
capability settings:Write SNMPr n
Remove user
Ident Firmwarer
Admitín
Reseí Apply
Fig. 3.2 J Creación de un nuevo usuario
User Managementuser ñame:
change password:new password
confirrn password
capability settings:•Write SNMPr r
Remove user
read
Identr
Firmwarer
Admin
Reset Apply
Fig. 3.22 Creación de un usuario con permisos de lectura
140
Una vez que se tienen creados los respectivos usuarios, se debe aplicar la política
de acceso restringido, esto se realiza en la opción Setup -> Securífy -> User
Manager, en la pantalla de la figura 3.23.
AF340ecenter User Manager SetupCisco AP340 12J04
User Manager: C Enabled <•" Disabled
Állow B.ead-Only Browsing wíthout Login? í*" yes C noProtect Legal CreditPage? C yes <t! no
C i s c o S Y S T E M S
Uptime:! day, 14:18:45
Apply OK : Cancel Restore Defaults
Fig. 3.23 Pantalla User Manager Setup sin acceso restringido
Para que se aplique la política de usuarios la opción User Manager debe estar en
enable. La opción Allow Read-Oniy Browsing without Login? Se refiere a otorgar
acceso de lectura sin necesidad de hacer iogin, ésta debe estar deshabitada.
Finalmente la opción Protect Legal Credit Page? debe estar en Yes para
protección de la página de créditos legales. Con esta configuración se tiene la
pantalla de la figura 3.24.
AP340ecenter User Manager SetupCisco AP34012D4
User Manager: f*" Enabled <~ Disabied
Allow Read-Only Browsing without Login? C yes F no
Protect Legal CreditPage? (*• yes O no
C i s c o S Y S T E M S
Uptíme: 1 day, 14:18:45
Apply Resíore Defaulís
Fig, 3.24 Pantalla User Manager Setup con acceso restringido
141
Con esto termina la configuración de acceso restringido al AP.
3.4.3.2. Deshabilitación de SNMP y Telnet en el AP
Otra forma de obtener Acceso al AP y alterar su configuración es mediante
SNMP y Telnet. Para asegurarse que la única forma de configurar el AP es vía
Web, las opciones de SNMP y Telnet deben ser deshabilitadas.
Para deshabilitar SNMP se debe ingresar desde el Home a Setup -> SNMP,
donde aparece la pantalla de la figura 3.25.
AK40ecenter SNMP Setup C l S C O S í S T E M S
C^OÁP^4012^ irniiiiiHimimi®Uptime: 2 clays, 00:26:19
Simple Metwork Management Protocol (SMMP): $ Enabled F. Disabled
System Description; Cisco AP340 12.04
System Mame: |AP34Qecenter i
System Lo catión: ':
System Contact: ¡AironetWireless Communications, l¡
SMMP Trap Destination: . I
SMMP Trap Community: f"
Browse Management Information Base fMISl
Ápply OK Cancel Restore Defaults' * . i ' j \ 3,25 Configuración de SNMP
Como se puede apreciar por defecto SNMP está habilitado, por lo cual se debe
deshabilitar seleccionando Disabled en la opción Simple Network Management
Protocol (SNMP) y aplicando el cambio con Appiy.
142
La opción de Telnet se debe deshabilitar desde el Home ingresando a Setup ->
Consoie/Teinet Donde se despliega la pantalla de la figura 3,26.
AP340ecenter CoilSole/Telnet Setup
Cisco AP340 12,04
BaudRate:Parity:Data Bits:Stop Bits:Elow Control:Terminal Type:Columns (64-132):
Lines (16-50):Telnet:
9BQO jjNone jj
BSWXon/XofíJ
teletyps jj_
24 _ •
í^Eaabled T]
C i s c o S Y S T E M S
Uptime: 2 days, 00:31:59
Fig. 3.26 Configuración de Telnet
En la última opción Telnet se debe elegir Disabied y aplicar los cambios con
Apply.
3.4.3.3. Eliminación del Broadcast del SSID
El broadcast del SSID es una invitación para que usuarios extraños se asocien a
la red, por ello se recomienda deshabilitar esta opción. Para esto se debe ingresar
a la opción Setup y luego en la fila de AP Radio a Hardware, con lo que se
presenta la pantalla de la figura 3.27. Por defecto el broadcast del SSID está
habilitado, se debe eiegir A/o y aplicar los cambios con Apply.
3.4.3.4. Filtrado en el AP 340 CISCO
Como se mencionó en el capítulo anterior, se pueden establecer 3 tipos de filtrado
en el AP. El primero es el filtrado del SSID que ya está configurado. El segundo
es ei filtrado de MAC y el tercero es el filtrado de protocolos.
143
Service Set ID (SSID):Ailow "Broadcast" SSID to Associate?: & yes O no
Enable ""WorídMode" multi-domain operation?: ¡no jl|
DataRates (Mb/sec):1.0 jbasic^j 2.0 5.5 j
TransmitPower:
Frag. TTireskold (256-2338):Max, RTS Refríes (1-255):
Beacon Period (19-5000 Kusec):
Default Radío ChanneL'Search for less-congested Radío Channel?;
1J ll.o|bas¡cjij
Í3GmW>j
|2338 RTS Threshold (0-2339): [2333
JÍ2 Mas. Data Reines (1-255): |32
(TOO DataBeacoaRate(DTlM): [Í
I 6 [2^37 MHzQ
no TJ Restrict_Searche_d_Chaanels
Receive Antearía: JDiversity^J Transrnit Antenna: |D¡vers¡ty^J
If VLANs are not enabled, set Radio Data Encrypüon throu^i the liiik below. If VLAWs areenabled, Radio Data Encryption is set independendy for each enabled VLÁN through VLANSetup.
Radio DataEncrvption fWEP")
Restare Defeults
F/g. 5.27 Broadcast del SSID
a) Configuración de Filtrado de Protocolos en elAP 340 CISCO
Los clientes necesitan que todas las aplicaciones que corren en una red cableada,
también funcionen en la WLAN, por ello no se aplica ningún filtro. Sin embargo
éstos pueden añadirse ingresando a través de Setup -> Protocol Filters, a la
pantalla de la figura 3.28. Luego se debe seleccionar IP Protocol Filters y aparece
la pantalla de configuración de filtros mostrada en la figura 3.29. El filtro para VolP
viene predeterminado como ejemplo.
S Y S T E M SAP340ecenter
Cisco AP340 12.04
FÜteFS Setllp
Uptime: 10 days, 14:53:56
Ethertyp e FiltersIP Protocol FiltersIPPortHters
Policv GroupsPSCP-to-CoS Conversión
Ouality of Service
Fig, 3.28 Pantalla principal de configuración de, Filtros
144
AI>340eceiiter IP Protocol FílterSC i s c o S Y S T E M S
Cisco AP340 12.04
IffionU^JQtá;^ Upíime: 10 days, 14:57:03©
SetID: SetÜSTame:
Existiiig IP Protocol Üfilter Sets:202 VoiceOverlP
Fig. 3.29 Configuración de Filtros IP
Add New-
Edil
Remove
Done
b) Configuración de Filtrado MAC en elAP 340 CISCO
Para la configuración del filtrado MAC en el AP se debe ingresar a Setup ->
Address Filters, luego de lo cual aparece la pantalla de la figura 3.30.
AP340eceiiter Address FiltersCisco ÁP340 12 J}4
C i s c o S Y S T E M S
Uptime: 9 days, 23:59:26
ITewMAC Address Filter:
DestMÁC Address:
" AJiowed CDÍsallowed f Client Disallowed Add
The default settíngs formulticast andunicast destinatíonMÁC addresses traiismitíedfrom eachnetworkiníeiface are specifiedonÜíeÁdvancedSetuppageforthatnetworkinterface.
Existiiig MAC Address lilters:Rernove
Lookup MAC Address 011 Áuthentication Server if not in Existing Füter List?
Is IvIAC Áuthentication alone sufficient for a client to be My authenticated?
Apply OK Cancel
í* yes C noí*" yes C no
Rém.ove'AIl •
Fig. 3.30 Pantalla de configuración de Filtros MAC
145
En el campo Dest MAC Address Filter se ingresan las direcciones MAC de las
tarjetas de los usuarios inalámbricos, con la opción Allowed y luego se presiona
Add. Como el filtro se aplica directamente en el AP la opción Lookup MAC
Address on Authentication Serverifnon Existing Filter List?, debe estar en A/o.
Además la autenticación por MAC autorizada no es suficiente por lo que la opción
Is MAC Authentication alone sufficient for a client to be fuliy authenticated?
también debe estar en no.
Realizados estos cambios la pantalla final se muestra en la figura 3.31. Luego se
ingresa a la opción Setup -> Service Sets, donde aparece la pantalla de la figura
3.32. Aquí se selecciona el SSID de la red y se ingresa a la opción Edit.
Luego, debajo del tipo de autenticación que se esté utilizando Open, Shared o
EAP Network) en la opción Default Unicast Address Filter se debe seleccionar
Disallowed, tal como se indica en la figura 3.33 para el caso de autenticación
Open; se aplican los cambios y está configurado el filtro MAC en la WLAN.
AP340ecenter AddrCSS FílterS
Cisco AP340 12.04
Uptime: 10 days, 00:20:20
New MAC Address Füter:DestMÁC Address: )
^ Allowed C Disallowed f CHent Disallowed Add
The defautt settíngsformulticast andunícast destinationMAC addresses transtnittedfrom eachnetworkinteiface are specifíed ontlie ÁdvancedSetup page forthatneíworkinteiface.
Existing MAC Address ffilters:
00:Dc:85:bb:af:87 Allowed—'00:0c:85:bb:af:88 Allowed00:0c:85:bb:af:89 AKowedjJ
Lookup MÁ.C Address on Authentication Server if not in Exisiáng Pilter List? C yes & noIs MA.G Authentication 'alone sufficient for a client to be My authenticated? C yes f*" no
Fig. 3.32 Configuración de usuarios MAC autorizados
146
AP Radio Service Sets C | S C O S Y S T E M S
Cisco AP340 12 J04
Uptime: 10 days, 01:2835
Service Set Sniianary Status
Device:SSID for use by Infrastructure Statíons (such as Repeaters):Disallow Infrastructure Staííons on atiy other SSID:
Service SetlD(SSID):
Existíng SSIDs:
r
[0] 1>WLAN(primaiy)
AP Radio
f yes <*" no
Add New
Edit
]_.
: Apply | OK | Csncei | RestoreÁII [
Fig. 3.32 Configuración de Específica por SSID del filtro
AP340ecenter AP Radio Primary SSID
Cisco AP340 12 D4
[Mm"| Help]
Device: AP RadioService SetID (Primary SSID): |1>Vv'LANCurrent Number of Associatíons: 1Máximum Number of Associatíons: JO
Classify Workgroup Brídges as Meíwork Infrastructure: (*" yes C noProxy Mobile IP is enabled: C yes <*" noDefauítVLANID:DefaultPolicy Group ID:
C i s c o S Y S T E M S
Upíime: 10 days, 01:31:29
|[0]-Nons-jJ¡[0] -None-
Open
F?r
^Shared
rr
Network-EAP
rAccept AuÜíenticatíon Type:Require EAP:DefaultTJnicast Address Filten |Disallüwed H |Al!owed
To require staüc or server-based MAC-Address authenticaüon, sct üDe£»tüt TMcasí Address FUter" to "DisaUmved".
Ápply OK . Cancel : Resíore Deíaults
Fig. 3.33 Aplicación del filtro MAC para el tipo de autenticación
147
3.4.4. CONFIGURACIÓN WEP EN EL AP 340 CISCO
Una vez configurados todos los parámetros para el funcionamiento de la WLAN y
las herramientas de seguridad adicionales, es momento de iniciar el desarrollo de
la implementación de WEP como mecanismo de seguridad para la WLAN.
Para acceder a la utilidad de configuración WEP se debe ingresar a Setup ->
Securíty -> Radio Data Encryption (WEP), luego de lo cual aparece la pantalla de
la figura 3.34.
Ai>340ecenter AP Radio Data Encryption C | S C O S Y S U M S
Cisco AP340 12.04
Uptime: Í7:08:33
If VLANs are not enabled, set Radio Data Encryption on this page. IFVLANs are enabled. RadioData Encryption is set independentíy for each enabled VLAN through VLÁÜST Setup.
Use of Data Encryption by Stations is: Not AvaílableMusí set an Encryption Key or snabls Braadcast Key Rotaüonjirst
Qp en Shar e d Network-E AP
Accept Autiienticatíon Type: F7 P HRequireEAP: H t~
TransmitWith Key Encryption Key Key Size
WEP Key 1: - I I not set ¿J
WEP Key 2: - | _ |notseíjj
Key 3: - | jnatset H
'Key 4: - J ^ ; |notset^
Eníer 40-bít WEP keys as 10 hexadecimal cügits (0-9, a-f, ot Á-F).Enter 128-bii WEP iceys as 26 hexadeciinal digits (0-9, a-f, or A-F).
This radio supports EnciypUon for all DataRates.
Apply OK Cancel Restors Defaults
Fig. 3.34 Configuración WEP delAP 340 Aironet CISCO
Como se puede apreciar en la figura 3.34, la seguridad WEP viene deshabilitada
de fábrica, por lo que cualquier usuario inalámbrico que conozca el SSID y robe
un MAC autorizada podrá obtener acceso a la red, además, los datos de los
usuarios no viajan encriptados y pueden ser interceptados fácilmente.
148
Para la configuración de WEP primero se deben generar 4 claves de 128 bits (se
prefiere ei uso de 128 bits al uso de claves de 40 bits) que equivalen a 26
números hexadecimales, y colocarlas en los respectivos espacios de
Encryption Key, luego en los campos de Key Size para cada clave se debe elegir
la longitud de 128 bits.
Las claves generadas deben ser aleatorias y no deben tener patrones
característicos o fáciles de recordar. En la tabla 3.4 se muestran las claves
seleccionadas que cumplen con estas condiciones.
Número de clave Clave
Clave 1
Clave 2
Clave 3
Clave 4
7A8C6F91 B549D7E37BA2F4D6AB
41 5778C6C6A5F91 CBDC6FBBAFC
AB45DC87BD654CBDFC6CF91 BA1
C548DA6F1B5C6A7D4C527B14FC
Tabla 3.4 Claves WEP seleccionadas
Luego en el parámetro Accept Authentication Type se tienen 3 opciones
> Open.- El usuario requiere autenticarse con el método Open, para
conectarse a la WLAN.
> Shared.- El usuario requiere autenticación Shared, para conectarse a la
WLAN.
> Network- EAP.- El usuario requiere autenticación EAP, para conectarse a
la WLAN.
Por supuesto, de lo concluido en el capítulo 2, se debe seleccionar solo la opción
Open, pues Shared implica mayor riesgo por la posibilidad de tener el texto plano
y el texto encriptado del challenge, y en cambio la autenticación Network-EAP no
está disponible en la solución.
149
Luego de configurados estos parámetros, la pantalla del utilitario queda como la
que se muestra en la figura 3.35. Se aplican los cambios con Apply.
TVLANs are not enabted, set Radio Data Encrypüon on tus page. ]f VLANs are enábled, Radie)ata Encíypüotí is set indepeadendy for each enábled VLAN througfa VLAH Setuo.
íse ofDalaEncryplion by Stelions >s: IN oi AvaiíableMttsí sel an Qncryption Ksy or snable BroadcasL £ey Soíaífonftrsí
Shai-udvccept AullienticationType: 17 |~ T~lequire EAP: T I"
Xraiisitdl:Witli Kcy Encryptíoii ICcy Eey iSk
|7A8C8F91B543D7E370A2F-4DGAB
V/EP Key 2: - liL5??8C6C6^F5lC3DC6FBSAFC ) 128 bit
- |AB'15DC87BD6BCBDFC6CF91BA1 |l28bitjj
"WEPKey4: - |C5^8DA6F1B5CSA7D^C527BMFC J128b¡l_-j
Enleí 40-biL W£P kcys as 10 lujxatíeciinol tligiLs (0-9, t-f, orÁ-F).Eníer 128-bít WEP k¿ys as 2ó hexadeeíraal digits (0-P, a-f( or A-í).
This fddto suppoits Enuyplioafor &I1 Data Rales.
Apply OK Cancel RssiorG Defatills
Fig. 3.35 Configuración WEP del AP 340 Aironet CISCO
Como resultado de estos cambios la pantalla aparece con una nueva opción, Use
of Data Encryption by Stations is, como se muestra en la figura 3.36. Esta opción
tiene las siguientes elecciones:
> A/o Encryption.- Los datos de los clientes no serán encriptados antes de su
transmisión.
> Full Encryption.- Los datos de los clientes sí serán encriptados antes de su
transmisión.
> OptíonaL- El cliente puede elegir si encriptar o no sus datos.
La opción a elegir es Full Encryption para que todos los datos sean encriptados
obligatoriamente. Incluso si un cliente conoce la clave pero no está configurado
para encriptar sus datos, el AP no le otorgará el acceso a la WLAN.
AP340ecenter AP Radio Data Encryptiou C l s c o SíSTEMS
Cisco AP340 12JD4
Uptime; 10 days, 15:16:10
If VLANs are not enabled, set Radio Data Encryption on this page. IF VLANs are enabled, RadioData Encryption is set independentíy for each enabíed VLAN through VLÁ3ÑT Setup.
Use of Data Encryption by Stations is:
Áccept Authentication Type:Require EAP:
TransmitWith Key
"WEP Key I: P
"WEP Key 2: C
"WEP Key 3: C
TOP Key 4: r
Full Encryption _r.iNo EnoyptíonOptional
r
Wetwork-EAPr
Encryption Key
Enter 40-bÍi WEP keys as lOhexadecimaldigits (JJ-9, &•£, orA-F).Enter 128-bü WEP keys as 26 hexadecimal di ís (0-9, a-f, or A-F).
This radio auppoiís Enctyption for ntl Dais Rales.
150
. 3.36 Configuración WEP delAP 340 Áironet CISCO
Además aparece un campo Transmit With Key, que sirve para elegir una de las 4
claves para la encripción y autenticación. Se elige ia clave 1. Finalmente se
aplican los cambios y la pantalla final que se muestra es la de la figura 3.37.
Además nótese que las claves ya no son visibles por seguridad.
AP Radío Data Encryption
Íil Uptítne: 10 days, 1
IfVLANs are not enabled, set Radio Data Encryption on this page. If VE*A2STs are enabled. RadioData Encryption is set independentíy for each enabled VI^AJSF through VX-AN"- S etup_.
TTse of Data Encryption by Stations is: ]Full Enctyption.
Áccept Authentication Type:Kequire EAP:
TraiLSzuitZey
OpenP"r
r
Encrj-ption
ey I:
"WEP Key 2;
ey 3:
ey 4:
Enter 40-blt WEP keys ae 10 liwí&decimal digíts iJ)-9, i-f, or A-F).Enter 128-bit WEP keys as 26 hexadecimal dígits tyj-9, a-f, oíA-F).
ThiB radio supporta Encrypüon for afl Data Ratea.
Apply | OK .[ ^Cancel | Restare Def&ufcs ' ' ,|
Fig. 3,37 Pantalla final de configuración WEP
151
Ahora que se tiene configurado el WEP básico, se deben añadir las propiedades
de MIC y TKIP (las mejoras de WPA para WEP) para que el sistema sea seguro.
Sin estas herramientas adicionales, WEP presenta las debilidades ya
mencionadas en el capítulo 2 como IV demasiado corto, clave estática, etc., y no
podría ser utilizado como mecanismo de seguridad confiable.
Para habilitar ambas opciones se debe ingresar a Setup y luego en las opciones
de AP Radio en Advance, luego de lo cua!, aparece la pantalla de la figura 3.38.
Etequested Status:Current Status;PacketEorwarding: | EnabledForwarding State: ElockingDefault Multicast Address Eilter. |Allowed
Máximum Multicast Packets/Second: |ü
Radío Cell Role: I Access Point/Root 1
3SID for use by Infrastructure Statíons (such as Repeaters): |ü
Disaliow Infrastructure Statíons on any other SSID: C yes <*" noCTse Aironet Extensíons: <"* yes <*" noCiassÜy "Workgroup Bridges as Network Infrastructure: <? yes f~~ noRequire use oFInternal Radío Firmware: 5.201 f*~ yes f~ noEthernet Encapsuíation Transform: | RFC104Z
Quality of Servio e Setup
EF VLAWs are not enabled, set the following three parameters on this page. ]T VLANs ors enabled, the following threeparameters are set independently for each enabled "VLAN through VLAH Setup.
Enhanced MIC verification for "WEP:
Temporal Key Integrity Protocoi:
Broadcast"WEP Key roíation interval (sec): JO ' (0=o£E)
Fig. 3.38 Pantalla de configuración de seguridad adicional a WEP
Para poder habilitar las opciones de TK1P y MIC en el AP, primero se debe
habilitar la opción Use Aironet Extensions, que le permite al AP manejar estas
funcionalidades adicionales. Luego las opciones de Enhanced MIC verification for
WEP y Temporal Key Integríty Protocol: deben estar en MMH y Cisco
respectivamente, de acuerdo a la nomenclatura que utiliza Cisco. La pantalla final
se muestra en la figura 3.39.
Con esto termina la configuración del AP, ahora los clientes deben tener la clave
secreta 1 y una correcta configuración WEP para poder acceder a la WLAN.
152
Requested Status:
Current Status:PacketEorwarding: | Enabled >|
Forwarding State: ForwardjngDefaulí Multicast Áddress Filien |Allowed
Máximum Multicast Packets/Second: ¡O '
Radio Celí Role: |AccessPo¡ni/Root
SSID for use by Inírastructure Stations (such as Repeaters): [ü '
Disallow Infrastructure Statíons on any other SSID: C yes P no
Use Aironet Extensíons: í*"yes O noClassiíy "Workgroup Brídges as Network Inírasíructure: í*" yes ^ noRequire use of Interna! Hadio Firmware: 5.201 <* yes C no
Ethernet Encapsuíation Transform: 1. ^ tH2 rí
Quality of Service Setup
ITVLANs are not enabled, set the foflowing three parameters on this page. IFVLÁNs are enabled, the following threeparameters are set independenúy for each enabled VLAN tíirough VLAH" Setup.
Enhanced MIC verification for "WEP:
Temporal Key Integrííy Protocol:
Broadcast "WEP Key rotation interval (sec):
Fig. 3,39 Configuración MCy TKIP
3.5. CONFIGURACIÓN DEL USUARIO CON TARJETA PCMCIA
AIRONET 350 CISCO
3.5.1. INSTALACIÓN DE LA TARJETA INALÁMBRICA
La instalación de la tarjeta 350 Aironet en Windows XP, que es el caso común de
sistema operativo en portátiles, es sencilla y rápida; simplemente se debe insertar
la tarjeta en la ranura PCMCIA y el sistema operativo corre un programa de
instalación automático en el cual sólo se debe especificar la ubicación del dríver
adecuado.
El dríver actualizado para la tarjeta se puede descargar del siguiente enlace del
fabricante: http://www.cisco.com/public/sw-center/sw-wireless.shtml.
153
3.5.2. INSTALACIÓN DEL SOFTWARE PARA EL CLIENTE INALÁMBRICO
Una vez que está instalado el hardware, es momento del software. Cisco ofrece el
ACU Aironet Client Utiiity, que es el software del fabricante para manejar la
configuración inalámbrica del cliente y su conectividad en la WLAN.
El ACU tiene las funcionalidades y ventajas siguientes:
> Manejo gráfico de la configuración de la WLAN.
> Provee herramientas de monitoreo de ia calidad del enlace inalámbrico.
> Provee mecanismos de pruebas del enlace.
> Administración de varios perfiles de usuario para diferentes tipos de
WLAN's.
> Soporte a varios tipos de autenticación, como WEP, LEAP, EAP, etc.
El ACU más actualizado para el cliente inalámbrico se puede descargar del
siguiente enlace del fabricante: http://www.cisco.com/public/sw-center/sw-
wireless.shtml. En este caso es la versión V 5.05. En e! Anexo 3 se presenta un
manual de instalación del ACU V5.05.
3.5.3. ACTUALIZACIÓN DEL FIRMWARE
Es el primer paso para la correcta configuración del cliente inalámbrico. La
actualización del firmware provee de nuevas funcionalidades a la tarjeta
inalámbrica y cubre agujeros de seguridad de versiones anteriores. La última
versión de firmware para las tarjetas 350 Aironet se puede descargar del siguiente
enlace del fabricante: http://www.cisco.com/public/sw-center/sw-wireless.shtml.
La versión más reciente es la 45c42530. Para proceder con la actualización se
debe ingresar a la opción Load Firmware, desde la pantalla principal del ACU,
como se indica en la figura 3.40.
154
£3 Aironet Ctíent UtHlty "LJI9JBCommsnds Opttons Help
® & e? f O?Sriect Profüe Status StAstícs Load i liATfct SJte Uhk Preferen Heíp AboutProfüt Manager V mimare í X Sijveif Status... ees
C i s c o S Y S T E
Aironet Client Utiliw V5.0S
The ráete in your 350 Serles Is tuned OFF!
Fig. 3.40 Pañí alia principal delACU
Se ubica el archivo 45c42530.img y se lo carga, tal como lo muestra la figura 3.41.
Load New Firmware
Look h: & Fímiware
fitensme: |45c42530jrrg Open
Fíes of type: JBrmware image Rtes Cjmg)
Fig. 3.41 Pantalla para cargar elflrmware de la tarjeta
3.5.4. CONFIGURACIÓN DEL ACU PARA SEGURIDAD WEP
Ahora se tiene todo listo para iniciar la configuración de la WLAN y de su
seguridad en el ACU, EL software de Cisco permite manejar perfiles de
conectividad para aplicarse en diferentes ambientes inalámbricos, además se
tiene la ventaja de que estos perfiles son exportables e importarles, es decir que
basta con configurar un cliente de la WLAN completamente y luego exportar ese
perfil para importario en el resto de usuarios inalámbricos, así ya no es necesario
realizar nuevamente el proceso de configuración.
155
Para crear un perfil se ingresa a la opción Profile Manageren la pantalla principal
del ACU. Aparece la pantalla de la figura 3.42.
Fig. 3.42 Pantalla de Administración de Perfiles
Se da. un cllq en. Add y se asigna, un. nombre al perfil, en. este ca.so "u.suarioWLAN",
se da cüc en OK para ingresar al perfil. Aparece la pantalla de la figura 3.43.
Series Propertíes - [usuarioWLAN]
System Parametere j HF Ñelwoik J Advanced Onfrastiuciure) j Network Secutüy ]
Client Ñame:
SSID1:
SS1D2:
SS1D3:
PowerSaveMode: -------.^-r^r^
(**;• CAI.l (ConstanOy Awake Mode)O Max PSP (Max Pov.-er Savlngs)
O Pasl PSP (Powa- Save Mode)
7 Netwoik Typa:
I: <*".-• infrasíiucíure
OK Hdp
Fig. 3.43 Pantalla de System Parameters
156
En estas opciones, de la pestaña System Parameters se asigna un nombre al
cliente, por ejemplo usuariol, luego se configura el SSID que es IxWLAN, los
demás son parámetros por defecto para el tipo de red. También se elige una
WLAN de infraestructura y manejo de la energía tipo CAM (Constantly Awake
Mode) que indica que las estaciones serán advertidas de eventos en la WLAN, el
resultado final se muestra en la figura 3.44.
350 Sedes Propertfes - [üsüarioWLANj "**•
System Paranvstere | RF Nriwoik | Advanced (Infrostiucíiíe) J Ndwoik Secuníy ]
CfcsrttName;
SSID1: jlxWLAÑ
SS1D2: j
SSÍD3: | ~
Power Save Mode: —
O M» PSP (Max Power SavSnga)
C. Faeí PSP (Power Scv* Modo)
Netwwk Type:
(r. Wrestiucttatt
I OK~ I Cancd t H«t) II Zl _l ...-j-ii-.-.r..;'-.-! ' ' '
Fig. 3.44 Pantalla de System Parameters final
Ahora se debe seleccionar la pestaña de Network Securíty con lo que aparece la
pantalla de la figura 3,45. Aquí se configura la seguridad WEP.
'350 Series Propertíes - tusuarioV/LAN]
Nelwoik Securiiy
Netwwk Security Type:
¡Nona _¡
aafic WEP Keys -^-.- -: ----- ~- =
rWEP Key o*y Method:
TranarttSel? KeyTi WEP Key 1: ^ [~
n WEP Key 2; C f
T; WEP Key 3: ?: [^
Q WEP Key 4: O [~,
FiPfcm AsaooBticgi To Hxed Cabj
;NoWE?
Access Poit A4h*nfcaíkn:
WEPKeySüe40 128
"li <7. r,
OK Cancd
Fig. 3.45 Pantalla de Nehvork Security
157
En las opciones WEP se debe elegir Use Static WEP Keys, con esto se habilitan
[os campos correspondientes a Use Static WEP Keys. Ahora en la opción WEP
Key Entry Method se elige Hexadecimal para el modo de entrada de la clave y en
/Access Point Authentication e! tipo de autenticación Open. Las mismas claves de!
AP de 128 bits deben ser configuradas en el mismo orden, luego se selecciona la
primera clave como Transmit Key. La pantalla final se muestra en la figura 3.46.
Sysíem Parameias j RFNeiwaikl Akanced (Wrastiuciure) Netwak Seajrfy
Network Securiy Type:
poO No WEP£ Use SIEÜC WEP Keys
r WEP Key Enüy Meihod: -^— b
!• ^Hexadecimal(0-9.A-r> ;
; OASaiTeat |
<• Accecs Point Auhentíctíion: •—
I íf C^jen AuíherticatiDn
| C Shared KeyA^Jthentfcaüon
Transrri WEPKeySizeSet? Key 40 128
O WEP Key 1: ^ |8C5F91B54SD7E37BA2F4DgAB | O £
O V^EPKey2: O JSTT^SCSASFSICBDCBFBBAFC ¡ O ??
O WEPKeyS: O |450C87BD554CBDPC6CF31BA1 j O £>
Pi V^EPKeyá: O I48DA6F185C6A7D4C527B14FC j O (v
P¡ íflow Assttóation To Wxed Cds
OK Cancd Hdp
-F/g. 3.46 Pantalla de final de Network Seciirity
Se da un ciic en O/c y se aplican los cambios. Una vez que se tiene el perfil
correcto configurado se lo debe aplicar. Para esto se elige la opción Select Profile
de la pantalla principal, luego de lo cual aparece la pantalla de la figura 3.47.
pjseSelecledPtofí^ í?; jusuatíoWWN
UseAnolhetApplicñlionTo Configure MyWiielessSettings O
Fig. 3.47 Pantalla Select Profüe
158
Se selecciona el perfil creado y se lo aplica con Apply. Una vez hecho esto, el
sistema empieza el proceso de autenticación y se asocia a la red. La correcta
asociación se puede visualizar en la parte inferior de la pantalla principal como lo
indica la figura 3.48.
EaÁlronetCÍient Ütlííty
Sdect Prefle Status Slatstti Load UnkTest Ste l*A Preíaen Befa AboutProffe Msw;cr FntiKere Serven Statu*,.. ce»
C i s c o S Y S T E M S
Alronet Client Utilitv VS.Q5
írpw3MS«rt«líAEH)cl»!edtoAP3««tníeí F Ature» 19Z16Í.ID.1 fÍ«37«M"~ ,/:
3.48 Pantalla principal delÁCU con la estación asociada
Se puede apreciar que el usuario está asociado al AP con el nombre
AP340ecenter y con dirección IP 192.168.10.1. Con esto termina la configuración
del cliente inalámbrico. El siguiente paso es la realización de pruebas de
conectividad y de seguridad de la red inalámbrica.
3.6. PRUEBAS DE FUNCIONAMIENTO
Se deben realizar pruebas de funcionamiento para verificar el correcto
desempeño de la WLAN y su seguridad. Esto implica que sólo los usuarios
autorizados puedan acceder a la WLAN.
3.6.1. PROCESO DE AUTENTICACIÓN NORMAL
Si el cliente está correctamente configurado de acuerdo a la sección anterior, se
autenticará sin ningún problema. Por ejemplo se tiene el cliente de pruebas
descrito en la tabla 3.5
159
I Parámetros de cliente de pruebas
Nombre
Autenticación
IP
MAC
Default Gateway
MAC
Perfil
Autenticación
usuario"!
Open - WEP
192.168.10.100
000c85bbaf85
192.168.10.2
000c85bbaf85
Correcto
Open
Tabla 3.5 Pantalla final de configuración WEP
Para la prueba de autenticación correcta se inserta la tarjeta PCMCIA en la ranura
y el proceso empieza automáticamente. Se puede visualizar la correcta
asociación a la red en la parte inferior de la pantalla principal del ACU, de igual
forma que en la figura 3.48.
Además en las utilidades de red del sistema operativo Windows XP se puede
visualizar el estado de la conexión de red mediante la tarjeta inalámbrica, tal como
muestra la figura 3.49.
Y Status
General j Supporí j
r Conriection --
Status:
DuraÜon:
Speed:
Stgnal Strength:
,«*- —
Packets:
— — — . ,ProperSes j |
LLI
Connecied
02:14:26
II.OMbps
fililí
Sent — - *5*-L ~"~ ReceivedT—, I
5,071 | 8.366. . ~,.i.,
Disable ]
[ Cbse
&y|á*5
Fig. 3,49 Pantalla de estado de red de Windows XP
160
Una forma más amigable de verificar la asociación al AP es mediante la opción
Link Status Meter, donde aparece la pantalla de la figura 3.50
Link Status Meter - [usuarioWLÁN]
SignaiauaHy-100%
Link OuaHy to Access Point AP340ecenter^Address 192.168.10.1 MAC Aridress 00:40^6:36:67AD feÍEXCELLENT
Fig. 3.50 Pantalla Link Status Meter
En esta pantalla se puede visualizar de forma gráfica el estado del enlace al AP,
en el eje Y se muestra la potencia de la señal que depende principalmente de la
distancia que se tenga con respecto al AP.
En el eje X se muestra en cambio la calidad de la señal que depende de la
interferencia existente en ei ambiente y del número de usuarios conectados en la
red.
En este caso el enlace es excelente debido a que la estación se encuentra
cercana al AP y solo existe un usuario conectado. La opción Status de la pantalla
principal del ACU brinda mayor información sobre el enlace, ésta despliega la
pantalla de la figura 3.51.
161
'350 Series Status- [usuarioWLÁK]
DeviceManufacturarFirmware VersiónBootBIock VersiónNDISDriver VersiónDefaultProfiieCurrent ProfileUsing Short Radio HeadersUsing Message Integrity CheckServer BasedAuthenticationWEP (Wired Equivalent Privacy)Authentication ti'peAntenna SelectionChannel SetClient ÑameMACAddress(Factory)IPAddressCurrent Unk Speed .DataRateCurrent Power LevelAvailable Power LevéisChannel (Frequency)
StatusSSIDNetwork TvpePower SaveModeAssociated Access Point ÑameAssociated Access Point IP ÁddressAssociated Access Point MACUp Time (hh:mrn:ss)
Current Signáistrength
Current Signal Quality
OverallLinkQuality
350 Series PCMCIACisco Systems, Inc.V4.25.30V1.50V8.5.26usuarioWLANusuanoV/L¿.NYesYesNoneEnabledOpenRx->Diversítiri Tx->DiversÍtyNorth Americausuario"!00:OC:85;BB:AF:85132.168.10.10011 MbpsAuto Rate Selection100 mW1,5,20,30,50,100 mW6 (2437 MHz)
Associated1KWLANInfrastructureCAMAP340ecenter132.168.10.100:40:36;36:67:AD01:20:56
Excellent
Fig. 3.51 Pantalla Status
Aquí se puede apreciar parámetros importantes como los que se resumen en la
tabla 3.6.
162
Parámetros del Enlace
Tarjeta inalámbrica
Fabricante
Firmware de la tarjeta
Perfil utilizado
Seguridad WEP
Autenticación
MAC
IP
Velocidad del enlace
Potencia de la señal
Frecuencia
SSID
Tipo de red
Nombre del AP
IPdelAP
Mac del AP
Tiempo total de actividad
350 PCMCIA
Cisco Systems Inc. •
V 4.25.30
usuarioWLAN
Yes
Open
000c85bbaf85
192.168.10.100
11 Mbps
100 mW
Canal 6 (2437 Mhz)
IxWLAN
Infraestructura
AP340ecenter
192.168.10.1
0040963667AD
1:20:56
Tabla 3.6 Parámetros del enlace obtenidos de la opción Status
En el AP también aparece el usuario asociado correctamente, tal como se
muestra en la pantalla del Home en la figura 3.52.
163
4P340ecenter Summary Status C i s c o S Y S T E M S
2isco AP340 12.04
Current AssociationsClients: 1 of 1 Repeaters: 0 of 0 Brídges: 0 of 0 ÁPs: 1
Recentáronte^* Time
10 days, 17:37:58
\K) days, 17:37:58
Severity
MoInfo
Description ^ ' ^^^x^^
Station rusuaríollOOOc85bbaf85 Associated ^
Station rusuaflol]OOQc85bbaf85 Autiaenticated^^X^
^— NEtw0rk P0rfs -^ Diamostics
De^dce
Ethernet
AP Radio
Status
Up
Up
Mb/s
100.0
11.0
IP Addi\1
192.168.10.1
MAC Addr.
0040963 667ad
0040963667ad
Fig. 3.52 Pantalla Home delÁP con usuariol asociado
En la pantalla anterior se presenta información sobre el usuario asociado, tal
como el nombre, dirección MAC y hora de asociación. Para ver más información
sobre el usuario se puede dar clic sobre el nombre del mismo, en este caso
usuariol y se despliega la pantalla de la figura 3.53 que tiene mayores datos
sobre el cliente.
En esta pantalla se puede visualizar una estadística de los paquetes transmitidos
y recibidos por el usuario. Además en la parte de Status se muestra un completo
resumen del tipo de usuario. En este caso se indica que es un cliente que
transmite con seguridad WEP, con MIC y que posee TKIP (Key Permute),
Como prueba de conectividad se puede realizar un ping a diferentes sitios de la
red. Por ejemplo en la pantalla de la figura 3.54 se muestra el resultado de un
ping hacia la dirección !P del AP 192.168.10.1 desde la estación del usuario.
164
JHDTÍ^p[affl
System ITameMAC AddressIP Address
ATAÑEDStateStatus
usuario 1 Desrice 350 Series Client
OG:Oc:85:bb:a£85
§*> 192.168.10.100
0
Assoc, AID=29, SSID=0Policy Gi^p.
Class
0
CKent
OK, WP, Key Permute, MEC, Short Preambles
Deauthentícaíe ; Dísassociate
Number of Pkts.
Humber ofPkfcs.
To Station Aí&t F~Packets OKTotal Bytes OKTotal ErrorsMax. Reíry Pkts.Short Re triesLon£ Retries
3292221674
000
38
|5
100
• CJearStats-' |, Refresh
Pkt. Size |64 : ' P¡ng
Pkt. Size |500 'LínkTest
Froin Station Mert VPackeís OKTotal Bytes OKTotal Errare
WEP Exrors
3360356859
0
0
Pai-ent
Current Rate
Latest Retties
[self]
ll .OMb/s
0 short, 0 long
NexíHop
Operational Rates
Latest Signa! Sir.
[selí]1.0B;2.0B,5_5B,11.0B
Mb/s100%
Hops to Infi-a.Aciñátjr Timeoxit
100:00:32
Echo PackeísLatest Activity
000:00:00
Communication OA^erlniei-face: PC4SOQ awcO
Fig. 3.53 Pantalla de información sobre el usuario asociado
Microsoft Windows XP CUersion S. 1.26003(O Cop¿A*icflit- 1985-2001 Microsoft Corp.
C:\Documents and Settincfs \fldministratoiOpincf 192-168.10.1
192.168.10.1 with 32 bytes of data:
fi^om 192. 168. 10. 1-- bytes=32 time=2ms TTL=64from 192.168.10.1: b^tes=32 time=2ms TTL=64
fleply fi-om 192.168-10.1:fvom 192-168-10.1:
statistics for 192.168.10-1:PacJ<ets: Sent = 4, Receiued - 4, Lost = 0 C0X loss>oximate round trip times in milli— seconds :Mínimum - 2msr Máximum » 2ms, ftueracj-e = 2ms
C:\Documents and Se (rtings \ftdminis trator>
Fig. 3.54 Ping hacia elÁP
165
Como se puede apreciar los tiempos de respuesta son de apenas 2 ms, un muy
buen tiempo para una WLAN. Con esto se verifica una correcta conectividad de
radio.
Ahora se puede realizar una prueba de conectividad hacia la LAN cableada desde
la WLAN, para esto se realiza un ping desde la estación hasta el servidor proxy de
la red con la dirección IP 192.168.10.2, obteniendo el resultado de la figura 3.55.
Command Prompt ,
Microsoft Windows XP CUersion S. 1.26803CC> Copyright 1985-2001 Microsoft Coi-p.
C:\Docuroents and Settincfs\fidminist:rator>pincf 192.168.10.2
192.168.10.2 with 32 b t e s of data:
from 192.168.10.2: hytev=32 time=2ros TTL-128Reply from 192.168-10-2: bvtes=32 time=2ms TTL=128Reply f^om 192.168.10.2: b^tes=32 time~2ms TTL=128
fx*om 192.168.10.2: byt&s=32 time^2ros TTL=128
statistics for 192.168.10.2:ackets: Sent = 4> Receiued = 4, Lost = 0 <0X
oxipate round trip times in milli— seconds:Mínimum - 2ms^ Máximum " 2ms, fi verane ~ 2ms
C:\Documents and Settincfs\fldministrator>M
Fig* 3.55 Ping hacia el Servidor Proxy
Se puede apreciar que el resultado del ping es exitoso, obteniéndose respuesta
desde el servidor proxy con tiempos de 2 ms.
3.6.2. USUARIO CONFIGURADO SIN AUTENTICACIÓN
En este caso se tiene un usuario que desea conectarse solamente conociendo el
SSID y no las claves WEP. Es decir que su perfil, en la parte de Network Securíty,
se encuentra configurado de la forma que indica la figura 3.56.
166
'350 Series Properttes - [free]
System Psrsmetere | RF Netwoik | Advanced Orfrastnjcíure) Networíe Securiiy |
Netwoik Security Type: f1
¡None _^Jj j Ciítfigue. .- j
: r= WEP Key Enfay Method: - .i=rr¡ .-' Hc^JtJfcCtrriÉii'fTi^i; ¿vPj'
yyreedy TransmRSel? Key
P! WEP Key 1: €! }*^
O WEP Key 2: O j^
• Pt WEP Key 3: C^ j__
Pi WEPKey4: O j^
;'
.„-._
^/£p
<£> No WEP
-Access Poirt Autheréicatk»i: - t
1 \_) 'ifiar*stíir'í:>-/ÁmEÍ'ti±!J!(Cíjtir'fi li
WEPKeySze40 128
P¡ Aflow Associatlon To Moced Cels
OK
I *' """i (?, r-
J
í Defaufes i' ' Canceí I H=íp
f^. 3,56 Pantalla de Network Security sin WEP
Como el AP no permite asociarse a usuarios que no tengan configurado WEP y
que no conozcan las claves WEP adecuadas, la pantalla de Link Status Meter del
usuario en cuestión se verá como la mostrada en la figura 3.57.
Link Status Meter - [tree]
Signa) QuaRy-0%
Your Cisco Wrefcss LAN Adapter ts Not AssocüatedÜ
Fig. 3.57 Pantalla Link Status Meter que se muestra sin asociación
Como se puede apreciar no existe actividad en la WLAN pues no se le permite el
acceso al usuario.
167
3.6.3. CLAVE WEP ERRÓNEA
Puede ocurrir que un usuario si está configurado para que utilice WEP, pero su
clave de 128 bits no coincide con la del AP, por ejemplo se modifica la clave
WEP correcta por una incorrecta que difiere solamente en el último hexadecimal,
tal como se muestra en la tabla 3.7.
Número de clave Clave
Clave 1 Correcta
Clave 1 Incorrecta
7A8C6F91 B549D7E37BA2F4D6AB
7A8C6F91 B549D7E37BA2F4D6AF
Tabla 3.7 Clave WEP correcta e incorrecta
Como se puede apreciar en la tabla 3.7 solo se cambia la última B por una F.
Debido a esto la configuración WEP del usuario es la que se muestra en la figura
3.58.
35O Seríes Properties - [usuarioWLAN]
System Parametere | RF Neíwoik | Advanced (InfrasínJCture) Netwoik Secunty |
Neiwork Security Type:
JNone — 1{ | Cont.gtj(e.. ]
! ,:- WEP Key Entry Method: — -- —
, t^> Hexadecimal (0-9. A-F) :
, OASClITend »
Already Transm2Set? Key
i C-' No WEP
; &j Use Stalic WEP Keys
fAccess Point
I*!; Qpen Aul
C SharedK
l
J^i WEP Key 1: £> J8C6F91B5¿9D7E37BA2F¿D6AF
J j WEP Key 2: O ¡
f?\P Key 3: O j
£?! WEP Key 4: O ¡
1 ) AOow Associeíion To Mixed Ceüs
OK
Audhenücaüon: - ¡«
henlicaüon t:
ey Aulhenticatfan :
WEP Key Slze^0 12S
i O ;
I o e! o ei O &
j"~"É5¿to~
ii
.
ICancel | Help |
Fig. 3.58 Pantalla de Nehvork Security con clave WEP incorrecta
Al aplicar esta configuración, ei usuario parece autenticarse correctamente,
incluso la pantalla de Link Status Meter es la misma que un usuario autorizado.
168
Sin embargo, a pesar de que el usuario parece asociado normalmente, el AP no
le permite transmitir ni recibir datos en la WLAN. Se puede verificar esto
intentando realizar un ping al AP, como lo muestra la figura 3,59.
Microsoft Windows XP Cüersion 5.1.26003<C> Copyright ±985-2801 Microsoft Corp.
C:\Docuroents and Settincfs\fidministx^ator>pincf 192 .168 -10.1
192.168.10.1 with 32 bytes of data:
Reguest timed out.Recjuest timed out.Request timed out.Request timed out,
statistics for 192,168.10.1:Sent = 4^ fteceiued - 0, Lost = 4 C100X loss>
C:\Docurnents and S
Fig. 3.59 Ping al ÁP
Como se puede observar en los resultados de la figura 3.59, el ping no es exitoso
debido a que el usuario no tiene permisos en la WLAN.
3.6.4. CONFIGURACIÓN ERRÓNEA DE PARÁMETROS WEP
Ahora se tiene otro caso. Si el usuario tiene la configuración correcta de las claves
WEP correspondientes, pero no el tipo de autenticación adecuado para la WLAN,
tampoco se le otorgará acceso a la misma.
Por ejemplo, el tipo de autenticación en este caso es Open, pero si un usuario
está configurado para utilizar autenticación de tipo Shared, tal y como se muestra
en la figura 3.60, no obtendrá acceso a la WLAN.
169
'350 Seríes Properties - [usuarioWLAN]
Sysism Pararoeíere | RF Netwwk | Advanced (Hntsliuciure) Netwok Security j
Nehvtxíc Sdcurit
¡None
W"P - - - - -
yType: „ '
1 I
- - WEP Key Enüy htóhod: -~ -• - - • • , T Acc«s5 Point /Vihenücátion; --
;' < / H»c«Jccimísí 6>-9. A-F) I~; Optsn AuÜwtícalion 1)• ! i¡ C- ASCItTeri S ! í "; Shwcd Key Aíheríicatlao j.
/Jn»dySet?
i ^
Tra«sn« WEP Key SzeKey 40 128
WEP Key 1: £" \ O *T J
WEP Key 2: O j j O" *5 :
WEP Key 3: O | ¡ C (f-
WEP Key 4: O | ¡O í? '
1~~: ¿tow Asaooatton To Mtxed Cafa [ Deíauhs 1••"-' ; 1
. - - - - - - . - -
OK Hdp
f^. 3.60 Autenticación Shared
AI aplicar esta configuración el usuario no puede asociarse a la WLAN, por tanto
se obtiene como resultado la misma pantalla de la figura 3.57 en la opción Link
Status Meter.
AP340ecenter Summary Status C I S C O S Y S T E M S
Cisco AP34012JJ4
Current AssociationsClients: 0 of 1 Repeaters: 0 of 0 Eridges: 0 of 0 APs:l
Recent Eventslime
12 days,13:19:31
12 days,13:19:28
12 days,13:19:26
12 days,13:19:26
12 days,13:19:25
S evenir
Tir ' n
-r-rr •
W^
Was^
Warning
Device
Ethernet
AP Radio
Desciiption
Station [usuario 11000c85bbaK5 FailedÁutíaentícation, status1 Unsupported Authenticatíon Álgorithin11
Station [usuariol1000c85bbaf85 PaiJed AuÜíenticatíon, status"Unsupported Authentication Algoritíim"
Station [usuario U 00 Qc85bbaf85 Pailed AuÜíentication, status"Unsupported Authentícation Algoríthm"
Station rusuañol1000c85bbaf85 Pailed Authentication, status"Unsupported Authentication Algorithm"
Station [usuario 11000c85bba£85 Faiied Authentícation, status"Unsupported Authentication Algorithm"
Status
Up
trP
Network Ports
Mb/s
100.0
11.0
IPÁddr.
192.168.10.1
192.168.10.1
Diagnostics
MAC Addr.
00409 63667ad
00^09 63 667ad
Fig. 3.61 Actividad de usuarios con algoritmos de autenticación no soportados en la WLAN
170
Además en la pantalla Home del AP mostrada en la figura 3.61, se puede
observar que existen intentos de asociación sin éxito debido a un algoritmo de
autenticación no soportado por la WLAN. El AP presenta unos Warnings o alertas
sobre estos sucesos. Estas alertas se pueden almacenar en un archivo de logs o
de registros para su posterior análisis.
Estos logs son una buena manera de observar comportamientos extraños en la
WLAN, verificar la actividad de los usuarios y prevenir ataques activos a la WLAN.
3.6.5. APLICACIÓN DEL FILTRO MAC
Finalmente se analiza el último cerco de seguridad de la WLAN. Si un usuario
posee las claves WEP y la correcta configuración de seguridad exigida, no resulta
suficiente, ya que debe tener una MAC autorizada para poder acceder a la WLAN.
Por ejemplo se tiene el usuario descrito en la tabla 3.8. Como se puede apreciar
tiene los parámetros correctos para acceso a la WLAN y no tendrá ningún
problema en la autenticación. Sin embargo se pregunta qué ocurre si su entrada
MAC se elimina del AP en el listado de MAC autorizadas.
Parámetros de cliente de pruebas
Nombre
Autenticación
IP
Default Gateway
MAC
Perfil
Autenticación
Clave 1
usuariol
Open-WEP
192.168.10.100
192.168.10.2
000c85bbaf85
Correcto
Open
7A8C6F91 B549D7E37BA2F4D6AF
Tabla 3.8 Clave WEP correcta e incorrecta
Para eliminar su entrada en el AP se ingresa a Setup -> Address Filters, a través
de la pantalla de la figura 3.62.
AP340ecenter AddrCSS FíltCtS
Cisco AP34Q 12JM
C i s c o S Y S T E M S
Uptíine: 12 days, 13:30:39
WewMAC Address Jüter:
Dest MAC Address;
ÁJlowed C Disaílowed í~ Client Dísallowed Ad'd
The defaultsettángsformultícastandumcastdesíinationMÁC addressesiíansmittedfrom eachnetworfcínterface are specifiedonthe AdyancedSetup page farfáiatnetvrorkinterface.
Existing MAC Address Filters:
00;0c:85;bb:af:85 AllowedH00:0c:85:bb:af;86 Allowed00:0c:85:bb:af;87 Allowed-00:8c:85:bb:af:88 Allov^ed00:8c:85:bb:at89 Allowed
Lookup MA.C Address on Authentication Server if not in Existing Hter List?
Is MAC Authentication alone sufficíent for a cíientto be fully authenticated?
Apply OK Cancel
C yes í*" no
í~" yes f*" no
Remove'All
Fig. 3.62 Filtrado MAC en elAP
171
Se elige la entrada correspondiente a la MAC 000c85bbaf85 y se la elimina con
Remove. El resultado se muestra en la figura 3.63. Se aplican los cambios con
Appiy.
AP34Gecenter
Cisco ÁP340 12JÍ4
MLNew MAC Address Filter:
Dest MAC Address:
Upíime: 12 days, 1332:01
f** ÁJlowed <" Disaílowed C Client Disaílowed Add
The defalút settings for mulíicasí and unícast destination MAC addresses b-ansmitted from each neíworkinterface are specified onthe Advanced Setup page forthatnetworkinterface.
Existing MAC Address lüters:
00:0c:85:bb:at86 Allowed00:0c:85:bb:aí:87 Allowed00;0c:85:bb;af:88 Allowed00:0c:85:bb:at89 Allowed •00:0c:85:bb:aí:90 Allowed^J
Lookup MAC Address on Authentication Server if not in Existing Filter List?
Is MÁ.G Authentication alone sufficient for a client to be fully authenticated?
Remove
yes <*" no
yes í*" no
Fig. 3.63 Listado Jifia/ de MAC's autorizadas en elAP
172
Ahora la MAC 000c85bbaf85 del cliente no es una entrada autorizada en el AP. El
tratar de asociarse ahora es inútil, pues a pesar de tener los parámetros de
seguridad correctos y conocer las claves WEP de la WLAN, su MAC no está
configurada en el filtro del AP y por tanto no se le otorgará el acceso.
El resultado que se obtiene es la no asociación de la estación, que se puede
apreciar en la pantalla Link Status Meter de! usuario que es la misma que se
muestra en la figura 3.57.
3.7. PRESUPUESTO REFERENCIAL
La solución con WEP no implica ningún gasto adicional en hardware en la
implementación de seguridad, ya que solamente se realiza la configuración en !a
infraestructura inalámbrica instalada. Además el proceso de configuración WEP
es sencillo y rápido.
Por todo esto la solución completa es muy económica y la implementación de la
segundad solo añade un costo de tiempo de configuración. En la tabla 3.9 se
muestra un desglose del presupuesto final de la solución de una WLAN segura
con WEP.
Se puede apreciar que la implementación de la seguridad implica solamente 2
horas técnicas de trabajo extra, una para e! AP y una para los 10 usuarios
inalámbricos. De esto se deduce que el costo de la seguridad es apenas un 3.5%
de la solución total de la red inalámbrica para el problema planteado.
Esto por supuesto es muy atrayente para los clientes que desean reducir los
gastos de implementación de esta tecnología. Además la solución presentada
ofrece características fuertes de seguridad y el cliente puede estar tranquilo al
utilizar su WLAN.
173
ítem Número de Parte Descripción Cantidad Precio Unitario Total
1
2
3
4
5
6
AIR-AP342EZR-A-
K9
AIR-PCM352
Configuración del
AP
Configuración del
AP
Configuración de
usuario WLAN
Configuración de
usuario WLAN
Access Point802.11b,
100mW, DuaIRP-TNC,
FCC, incluye 2 antenas
dipolares.
Tarjeta PCMCIA
802. 11 b con antena
integrada
Configuración básica
delAP
Configuración de
seguridad WEP en el
AP
Instalación de software
y drívers en usuarios
Configuración de
seguridad WEP en
usuarios
1
10
1
1
10
10
950*
110*
40 (1 hora
técnica)**
40 (1 hora
técnica)**
40 (3 horas
técnicas)**
40 (1 hora
técnica)**
950
1100
40
40
120
40
TOTAL 2290
* Estos precios son ofertados actualmente por Cisco Systems Inc. e incluyen el 12% de IVA.
** Se considera el precio enfundan del número de horas técnicas requeridas, a un precio de 40 USD cada
hora.
Tabla 3,9 Presupuesto final para una WLAN con WEP
174
4. SOLUCIÓN PARA UNA RED LAN INALÁMBRICA
SEGURA DE PEQUEÑA ESCALA CON LEAP
En este capítulo se presenta una guía de implementación de seguridad para una
red LAN inalámbrica de pequeña escala utilizando el protocolo LEAP. Para ello se
describen los diferentes aspectos a considerar en la solución LEAP, se define un
escenario común para redes inalámbricas y se diseña la solución para su
implementación en los equipos.
4.1. GENERALIDADES DE LA SOLUCIÓN CON LEAP
Para la implementación de seguridad en una WLAN con LEAP se tienen
presentes tres componentes:
> El Access Point
> Las tarjetas inalámbricas
> El Servidor RADIUS
Estos tres componentes se integran en el escenario de la figura 4.1.
ServidorRADIUS
LEAP
LEAP
Fig.4J Red WLÁN con seguridad LEAP
175
El usuario para poder asociarse a la red necesita presentar sus credenciales al
servidor RADIUS a través del AP; en el caso de LEAP, las credenciales son su
nombre de usuario y una contraseña que también conoce el servidor.
Bajo este esquema de funcionamiento se requiere que el usuario tenga una
configuración adecuada de LEAP y conozca sus credenciales para poder acceder
a laWLAN.
Además el AP debe poder comunicarse de forma segura con el-servidor RADIUS
para poder intercambiar la información del usuario. A su vez, el servidor RADIUS
debe manejar todas las peticiones del AP y conocer una base de datos
consistente de todos los usuarios autorizados y sus respectivas credenciales.
Como complemento de este esquema se pueden considerar todas las medidas de
segundad adicionales tomadas en cuenta en el capítulo anterior.
4.2. DESCRIPCIÓN DEL PROBLEMA
Se presenta el mismo problema planteado en la sección 3.3 del capítulo anterior.
Una empresa mediana que desea tener conectividad con bajo costo y con un
buen nivel de seguridad en su comunicación.
4.3. BOSQUEJO DE LA SOLUCIÓN
Para una solución con LEAP se deben establecer las características técnicas de
los tres elementos a utilizarse, EL AP y las tarjetas inalámbricas son los mismos
que se describen en el capítulo anterior. Esto es el AP 340 y las tarjetas
inalámbricas 350 Aironet de Cisco.
Para el servidor se tienen tres opciones:
> Servidores FreeRadius sobre Linux.
176
> Servidores propietarios de Cisco sobre sistemas operativos de red como
Windows 2000 Serven
> Servidores comerciales sobre varias plataformas.
Los servidores FreeRadius presentan el inconveniente de requerir una plataforma
Linux completamente instalada y funcionando correctamente, .esto implica
contratar personal para soporte de los servicios y mantenimiento del hardware.
El servidor RADIUS más vendido de Cisco es el Cisco Secura Access Control,
que funciona solo sobre plataformas de servidores como Windows 2000 Server.
El inconveniente obvio es el costo de las licencias de estos sistemas operativos y
la administración más compleja de los mismos. Además el software de Cisco no
es exclusivo para servidor RADIUS, sino que también provee funcionalidades
adicionales como concentrador de VPN's, bases de datos, etc, por lo que su
costo es elevado.
La solución más simple es el elegir un software comercial como el servidor
Odyssey Server de la empresa Funk Software. Este software presenta las
siguientes ventajas:
> Es exclusivamente un servidor RADIUS, por lo cual no se paga por
servicios adicionales innecesarios.
> Puede instalarse sobre varias plataformas, incluso en sistemas operativos
de estaciones como Windows 2000 y Windows XP.
> Ofrece compatibilidad con varios fabricantes de equipos y la empresa Funk
Software brinda soporte sobre problemas comunes de configuración.
> Maneja varios esquemas de -seguridad como LEAP, EAP - TLS, EAP -
TTLS, etc.
> Permite autenticar a los usuarios directamente contra las bases existentes
de Windows, evitando así manejar bases de datos externas en otros
lenguajes.
177
> Tiene total compatibilidad con Active Director/ de Windows por lo cual los
usuarios del sistema pueden ser añadidos directamente como usuarios
inalámbricos con sus respectivas credenciales.
> Por su interfaz gráfica es fácil e interactivo de configurar.
> Es fácil de instalar y ligero en ocupación de recursos del sistema.
> Ofrece una versión de prueba de 30 días para probar la funcionalidad del
software.
Por todos estos aspectos mencionados anteriormente, la solución es utilizar el
servidor Odyssey Se/ver, específicamente (aversión 1.10.00,297.
Ahora ya se tienen listos los 3 elementos para la implementación de la solución de
seguridad con LEAP, se debe tomar en cuenta que los parámetros de la red son
los mismos que se explican en la sección 3.3 del capítulo anterior.
4.4. CONFIGURACIÓN DEL SERVIDOR
Como se mencionó en el numeral anterior, el servidor RADIUS seleccionado es el
Odyssey Server, específicamente la versión 1.10.00.297. Este servidor puede
descargarse desde Internet del siguiente enlace del desarrollador: www.funk.com.
Por tratarse de un software comercial tiene un costo económico que se presenta
en el presupuesto de la solución al final de este capítulo. Sin embargo para
propósitos de pruebas de compatibilidad ofrece una versión de prueba que dura
30 días que es la que se utiliza en la solución. La puesta a punto del servidor
RADIUS comprende tres etapas: la instalación, la configuración LEAP y el manejo
de usuarios autorizados.
4.4.1. INSTALACIÓN DEL SERVIDOR RADIUS ODYSSEY SERVER
Como se mencionó anteriormente, el servidor Odyssey ofrece una versión de
prueba de 30 días que se puede descargar del Internet. El archivo que se
178
descarga del enlace del fabricante es un ejecutable de 6.1 MB compatible con los
/sistemas operativos Windows 2000 y Windows XP. [15]
En el caso del problema planteado el sistema operativo elegido es Wxp. Este
archivo de instalación se lo puede observar en la figura 4.2.
] OdysseyServer.msIPaquete de Windows Installer6.10DKB
Fig. 4.2 Archivo de instalación del Servidor
Después de poner en ejecución e! archivo que permite la instalación del Odyssey
Se/ver versión 1.10.00.297, se presenta en pantalla un mensaje que indica que se
está preparando un asistente para la instalación, este mensaje se muestra en la
figura 4.3.
tjj? Odyssey Ser ver - InstaUShield Wizard
Welcome to the InstallShield Wizard forOdyssey Server
Odyssey Server Setup is preparing the InstallShield Wizardwhich will guide you through the program setup process.Please waífc.
www.f unk.com
< BacK Wext > ' |' Cancel
Fig. 4,3 Instalación del Servidor Odyssey
Después de unos segundos se presenta la pantalla que se muestra en la figura
4.4, para continuar con la instalación se da un ciic en Next.
179
'Odyssey Server - InstallShield Wizard
Welcome to the InstallShield Wízard forÜdyssey Server
The InstallShield(R) Wízard will install Odyssey Server on yourcornputer. To continué, clickMext,
WARMINGi This prograrn ¡s protected by copyright law andInternational treaües,
w ww.,funk.com
Fig. 4.4 Instalación del Servidor Odyssey
En la pantalla se despliega el mensaje de la figura 4.5, que indica la conformidad
de la licencia de utilización del software, se aceptan los términos y se da un clic
en Next.
É|' Odyssey Server - InstallShield Wizard
License Agreement
Please read the following license agreement carefully.
Odyssey Liceiise Agreemeiit
This legal documentis an agisement"betweenyou, tKe enduseí; andFunkSofbwaiB, Inc.Pkise tHidifccatefullybefois installing the software. By selecüng'I accept the temis of thislicense agteenienf, you agtee to the teinns set fotth "below. If thase teínas ase. notacceptable, select *I do not acoept tíae tetras of this license agreemenf, and 'Cancel', andtetuní the package and docufnentatíon to the place of pi.iich.ase fot a full refi.ind.
LJCENSE
FunkSoftware gtants to you, andyou- a non-íTídusive license to use i single copy íyjj
© I accept the terms ¡n the license «greement
O í do not accept fche terms in fche license agreemenfc.
<Back lli" ' "Nexfc> "' j \l ]
Fig. 4.5 Conformidad de términos de uso de la licencia
180
En la figura 4.6 se muestra la pantalla para ingreso de datos, como el User Ñame,
Organizaron y License Key1. Luego de llenar estos datos se da un clic en Next.
^.- - . . - • .,.
"'•Bleá^e¿en'ÉeOTDiÍ2Ínformatídri',' vv*-"-' •'•'-' . - - * -J3*v>- ' ' -
F/g. . 6" Datos del usuario del software
Luego, en la pantalla de la figura 4.7 se escoge las características del servidor
que se instalará. Se selecciona la opción Complete y se da un ciic en Next.
iíer'Odyssey Server - InstollShield Wizard
Setup Type
Choose the setup fcype that best suits your needs.
Please select a setup type,
(*) Complete
O Custom
All program features wlll be Insiralled to fche default path.
Choose where features will be Installed. Recommended foradvanced users.
Fig. 4.7 Opciones del tipo de instalación del semidor
1 En la opción License Key se selecciona la opción 30 Day Instali ya que se trata de una versión
de prueba.
181
Con esto termina la configuración de los parámetros de instalación, en la pantalla
de la figura 4.8 se elige la opción Install y comienza el proceso de instalación.
¿§'0dyssey Server - InstallShield Wizard
Ready to Install the Program
The vvisard ¡s ready to begín Installatíon.
Click Install to begín the installation.
If you want to review or change any of your installation settings, clí'ck Back. Click Cancel toexit the wizard.
[ <Back [|j insten J [ Cancel ]
Fig. 4.8 Instalación del Servidor Odyssey
Finalmente aparece la pantalla de la figura 4.9 en la que se elige las opciones de
ejecutar el servidor y ver el archivo de información general del servidor y luego se
da un ciic en Finish.
InstallShield Wizard Completad
The InstaSShsíd WEerd ñas succassfuDy instafled OdysseyServer. Cfcfcrmlsh to eocfc the wteard.
Píense remsíiftbsr fco raccásr your software.
0 Launch Odys^v Servar Administrstor
0 Vbw Réadme
finish y i Ccncc
Fig. 4.9 Pantalla final de instalación del servidor
182
Luego se presenta en pantalla la consola de configuración del servidor que se
muestra en la figura 4.10. Esta consola es la interfaz con el administrador para la
configuración de los diferentes parámetros del servidor RADIUS.
Odyssey Server Administrator - [QdysseyServer]
Archivo Acción Ver Ayuda
Odyssey Server
Settings
Access Points
Groups
Users
Policies
DomainsLoa Sfcreams
Ñame . | Descríptíon
í&Settings
£f¡ Access Points
Ü' Groups
£< Users
§|) Policies
^Dornains
BlogStreams
Configure general server sefctings
Configure access points
Set access policies for groups
Sefc access policies for users
Configure access policies
Configure TTLS forwarding domains
Configure log streams
Fig. 4. JO Consola de configuración del servidor Odyssey
También se muestra el archivo README.txt del software en el que se puede
observar las características fundamentales del servidor y su compatibilidad con el
hardware del mercado. Verificar esto es muy importante ya que si no se ofrece
soporte con la marca de infraestructura inalámbrica utilizada, el servidor no será
útil. En la tabla 4.1 se muestra un resumen de la compatibilidad del servidor con
diferentes marcas de AP's y su correspondiente versión de firmware; en cambio
en la tabla 4.2 se muestra la compatibilidad del servidor con diferentes marcas de
tarjetas inalámbricas, con su correspondiente drívery firmware.
AP's compatibles con el servidor Odyssey
AP
3COM
ORINOCO
CISCO 340
CISCO 350
CISCO 1200
Intel 5000
Firmware
AP-800
AP-500
11.07
11.07
11.07
-
Tabla. 4.1 AP rs compatibles con el servidor Odyssey
183
Tarjetas compatibles con el servidor Odyssey
Tarjeta
3COM
ORiNOCO Gola
Card
CISCO 340
CISCO 350
Firmware
-
8.10
4.25.10
4.25.23
Dríver
4.0.4.00
7.41.0.36
6.97
6.97
Sistema
Operativo
XP
XP,2000
XP.2000
XP.2000
Tabla. 4.2 Tarjetas inalámbricas compatibles con el servidor Odyssey [15]
4.4.2. CONFIGURACIÓN DEL SERVIDOR RADIUS ODYSSEY
La configuración del servidor es rápida y dinámica gracias a su completa interfaz
gráfica mostrada anteriormente en la figura 4,10
Los parámetros fundamentales se configuran en las opciones Settings, en la
pantalla de la figura 4.11.
dyssey Server Administrator - [Odyssey Server\Settings]
File Action View Help
, Odyssey Server
i C^ Access Points
i -J^« Groups
:-"S UserS
f policies
DomainsL f|i LogStreams
*
TTLS Inner SelF- UserAuthentication Identiñcation Identificati.
RADIUS Access Point Pollcy Defaults Authentication TLS/TTLS User TrustSettings Defaults Settings Settings
Fig. 4.11 Parámefros de configuración del servidor Odyssey
En el primer icono, e! de RADIUS Settings, se especifica el puerto que el Servidor
debe utilizar para la comunicación con el AP, el puerto estándar para RADIUS es
el 1812, sin embargo es una buena política de seguridad utilizar otro puerto
184
disponible, ya que si un atacante logra realizar un escaneo de puertos al servidor
y visualiza que ei puerto 1812 está abierto, descubrirá que el servidor RADIUS de
la empresa está instalado allí y tratará de obtener su valiosa información. Por
ejemplo se puede seleccionar el puerto 516 que no está asignado a ninguna
aplicación según el RFC 1700.
Para configurar este puerto se ingresa a ia opción RADIUS Setíings en la pantalla
de la figura 4.12.
RADIUS Setíings
r RADIUS ports to listen on-
W ijhe standard.eort/18121
Additiona! ports:
Add...
Remove
Cancel
Fig. 4.12 Configuración del puerto del servidor Odyssey
Se deshabilita la opción del puerto estándar 1812 y se elige el puerto 516 en la
opción Add, tal como lo muestra la pantalla de la figura 4.13. Se aplican los
cambios con OK.
Add Port
Enterportnurnber: 51EJ
Cancel j
Fig. 4.13 Configuración del puerto del servidor Odyssey
185
Luego en el icono de >Access Point Defauits se configura el AP por defecto con e!
que se comunicará el servidor. Se ingresa a esta opción y aparece la pantalla de
la figura 4.14.
Access Point Defauits
Set the default inltial valúes for newly added accesspoints
- standard access point -Model:
Shared secret: Enter shared secret... j
Cancel
Fig. 4.14 Configuración del AP por defecto del servidor Odyssey
En el campo Model se elige la marca y modelo del AP, en este caso el AP 340 de
Cisco, tal como lo muestra la figura 4.15.
Access Point Defauits
Set the default ¡nítial valúes for newly added accesspoinís
Model;
ühared secret:
I Cisco Aironel 340 Access Poin ^ |
I £nter shared sectet... j
OK Canee!
Fig. 4.15 AP por defecto del servidor Odyssey
En la opción Enter shared secret se ingresa una clave secreta que comparte el
AP y el servidor, esta clave se utiliza para encriptartoda la información del usuario
que viaja sobre la LAN cableada entre e! AP y el servidor.
La clave puede ser de hasta 64 caracteres alfanuméricos, sin embargo una clave
de gran longitud demoraría el procesamiento de la información y el proceso de
autenticación del usuario podría durar varios minutos.
186
Por esto se elige utilizar la clave: q1w2ee. La configuración de la clave se puede
apreciar en la pantalla de la figura 4.16,
Enter Shared Secret
Í-,-r,r-T.
ql w
F* IJnmask
Cancel
Fig. 4.16 Clave compartida entre el servidor y el ÁP
En el icono Policy Defauits de la pantalla de Settings, se configura la política por
defecto que se debe aplicar a los nuevos usuarios que se añaden al servidor.
En la pantalla de la figura 4.17 se muestra la pantalla que se despliega al elegir
esta opción. Como sólo se debe añadir usuarios autorizados al servidor, esta
opción puede estar en Allow, que es permitir a todos los usuarios nuevos que se
añaden al servidor el acceso a la WLAN.
Set the default initial policy for newly added usersand groups
Pólice Allow
OK Cancel
Fig. 4.] 7 Políticas por defecto que se deben aplicar los nuevos usuarios
En el siguiente icono, de Auteniication Settings, se configura el método de
seguridad implementado por RADIUS. Al elegir esta opción se despliega la
pantalla de la figura 4.18.
187
Authentication Settings
Authentication protocols, inorder of preference:
TTLSTLSLEAP
OK Uancel
Fig* 4.18 Configuración del mecanismo de seguridad en el servidor Odyssey
En esta pantalla se puede apreciar que existen 3 métodos de autenticación
soportados por el servidor: EAP- TTLS, EAP-TLS y LEAP. En la solución
propuesta, sólo se debe permitir utilizar autenticación LEAP para e! acceso a la
WLAN, por lo cual los otros métodos deben ser removidos con la opción Remove.
Así la pantalla final de Authentication Settings se muestra en la figura 4.19.
uthentication Settings
Authentication grotocols, ¡norder of preference:
LEAP
OK
Add...
Remove
Cancel
Fig* 4.19 Configuración de LEAP en el servidor Odyssey
El resto de opciones de la pantalla Settings son para configurar lo parámetros de
EAP- TTLS y de EAP- TLS que no son necesarios ya que el servidor sólo utilizará
LEAP para la autenticación de los usuarios.
188
4.4.3. ADMINISTRACIÓN DE USUARIOS EN EL SERVIDOR&4DIUS
El servidor Odyssey permite integrarse al sistema de administración de usuarios
Active Directory de Windows. Por ello no es necesario utilizar software adicional
de bases de datos como SQL.
Al servidor se le pueden integrar los mismos usuarios del sistema de Windows,
por lo cual si se desea crear un nuevo usuario inalámbrico se debe crear un
usuario de Windows, asignarle su nombre de usuario y contraseña y luego
añadirlo como usuario autorizado al servidor.
Para la creación de usuarios en Windows primero se debe ingresar a las opciones
de administración del sistema. Para ello se da clic derecho sobre el icono de Mi
PC y se selecciona Administrar, tal como se indica en la figura 4.20.
Abrir
Explorar
Buscar,.
Conectar a unidad de red,,,
Desconectar de unidad de red,,,
Crear acceso directo
Eliminar
Cambiar nombre
Fig. 4.20 Configuración de usuarios de Windows XP
Luego de esto se despliega la pantalla de la figura 4.21 en la que se muestra la
consola de administración del equipo en su totalidad.
189
©Administración de equipos
¡S Archivo Acción Ver Ventana Ayuda
o •=> H3
Administración del equipo (loca!)
Herramientas del sistema
! ÉJ--fljfl Visor de sucesos
! ál-R) Carpetas compartidas
= é- |S Usuarios locales y gruposi ES- j§H Registros y alertas de rendirr
{ :--j§ Administrador de dispositivos
ÉJ--j§2J Almacenamiento
i Ep--^ Medios de almacenamiento e
; I Sjf Desfragrnentador de disco
Í ;--££Íj Administración de discos
ÉJ--& Servicios y Aplicaciones
Üfcíí
Nombre
^Herramientas del sistema
^Almacenamiento
^Servicios y Aplicaciones
L>J!
Fig. 4.21 Consola de administración del sistema WXP
Se elige la opción de Usuarios Locales y Grupos como se muestra en la figura
4.22.
'Administración de equipos Qd®SI Archivo Acción Ver Ventana Ayuda
§U Administración del equipo (local)Eh|fe) Herramientas del sistema
! ffl-fliÜl Visor de sucesosi Carpetas compartidas
B -
«Usuarios locales y gruposi -(•] Usuariosi [•! Grupos
••^ Registros y alertas de rendirr-JÍ| Administrador de dispositivos
! Almacenamiento$ Medios de almacenamiento e
••Kk-. Desfragmentador de disco•|p Administración de discos
L Servicios y Aplicaciones
"Nombre
IB) Usuarios
HS Grupos
Fig. 4.22 Administración de usuarios del sistema WXP
Para añadir un usuario se debe realizar un clic derecho sobre la carpeta usuarios
y elegir la opción Usuario nuevo, como lo indica la pantalla de la figura 4.23.
190
§í Administración de equipos
| J Archivo Acción Ver Ventana Ayuda
QNS
Administración del equipo (¡ocal)
-^J Herramientas del sistema
ffl -|0] Visor de sucesos
ES S Carpetas compartidas
B-|y Usuarios locales y grupos~"
Nombre
Usuarios
Grupos
Usuario nuevo..
' SI Registros ^ueva ventana desde aquí••W¿ Administre •
| Almacenamierj Actualizar
ÉÍ1 Medios d^ ~ ~ ~ ~ ]Ayuda
& Desfragm
Administración de discos
i Servicios y Aplicaciones
f . 4.23 Administración de usuarios del sistema WXP
Aparece después la pantalla de la figura 4.24 con ios parámetros principales del
usuario. En esta pantalla se llena el nombre, una breve descripción del usuario y
su contraseña.
Usuario nuevo
Hombre de usuario:
Nombie completo:
Descripción:
Contraseña: I
iConfirmar coníiasena: f
I~1 El usuario debe cambiar ia contraseña en el siguiente Inicio de sesión
C"l El usuario no puede cambiarla contraseña
Q La contraseña nunca caduca
Q Cuenta deshabilitada
Fig. 4.24 Configuración de nuevos usuarios del sistema WXP
Además se tienen cuatro opciones adicionales para el usuario que son:
El usuario debe cambiar la contraseña en el siguiente inicio de sesión.-
Esta opción no debe estar habilitada ya que el usuario puede cambiar a un
contraseña fácil de recordar y por tanto no segura.
191
> El usuario no puede cambiar la contrasena.- Por la misma razón anterior
esta opción debe estar deshabilitada.
> La contraseña nunca caduca.- Para evitar que un usuario se quede sin
acceso debido a que su contraseña caducó, esta opción debe estar
habilitada.
> Cuenta deshabilitada.- No se debe elegir esta opción, ya que crea la
cuenta pero deshabilitada. Es decir que no puede utilizarse el usuario
creado hasta que manualmente sea habilitado.
Finalmente se tiene el usuariol configurado con su contraseña azsxOI como se
muestra en la figura 4.25.
Usuario huevo
Nombre de usuario:
Nombre completo:
Descripción:
usuariol
usuariol
usuario inalámbrico
Contraseña:
Confirmar contraseña:
•••••*
•*•••*
: _' El usuatto debe cambiar la contrasena en el siguiente inicto de sesión
0 El usuario no puede cambiar la contraseña
Fl Cuenta deshabilitada
I _Crear j [ Cerrar [
Fig. 4.25 Configuración de nuevos usuarios del sistema WXP
Con este procedimiento se pueden crear varios usuarios para acceso a la red
inalámbrica, en la pantalla de la figura 4.26 se muestran los 10 usuarios creados
para acceso a la WLAN según el planteamiento del problema.
192
^Administración de equipos f.|fn|p<¡
^ Archivo Acción Ver Ventana Ayuda l^-jjgjjjj
4- -> &(lS] Xf^g \§ Administración del equipo (local) jXJj
B "i Gj Herramientas del sistema "";!
; B (lo| Visor de sucesos ¡|
; E- §3 Carpetas compartidas Ij
: B -|y Usuarios locales y grupos ¡j
•: É •§ Registros y alertas de reí; i¡
| -: -^ Administrador de disposit !¡
B-^ Almacenamiento !i
:' S- Medios de almacenarme ni
;•• • (& DesFragmentador de disc _^
': =-^¡ Administración de discos ££'
i4J., : ;l &>•
Hombre
®5UPPORT_38.
P^ usuariol
^usuario 10
^usuarios
WL usuarios
¿ij usuarios
^usuario6
&¿ usuario?
^usuarioB
££J usuar¡o9
| Nombre completo
• CN=MÍcrosoffc Corporation,..
usuariol
usuario 10
usuarios
usuarios
usuario4
usuarios
usuario6
usuario?
usuarios
usuario9
Descripción ¡A;
Esta es una cuenta de proveedor de,,.
Usuario inalámbrico 1 ^^^H
Usuario inalámbrico 10
Usuario inalámbrico
Usuario inalámbrico 3 , -,Í !'
Usuario inalámbrico 4 j ;'
Usuario inalámbrico 5 j
Usuario inalámbrico 6 j= •
Usuario inalámbrico 7 | 1
Usuario inalámbrico 8 1 !
Usuario inalámbrico 9 .L-j
IX.:
Fig. 4,26 Nuevos usuarios del sistema WXP
En la tabla 4.3 se muestran los usuarios creados con sus respectivas contrasenas
de acceso.
Usuarios LEAP autorizados
usuariol
usuario2
usuarios
usuario4
usuarios
usuarioG
usuario?
usuarios
usuarioQ
usuariol 0
azsxOI
azsx02
azsxOS
azsx04
azsxOS
azsx06
azsx07
azsxOS
azsx09
azsxOlO
Tabla. 4.3 Nuevos usuarios del sistema WXP
Una vez que se tienen los usuarios creados se los debe añadir al servidor
RADIUS para que puedan tener acceso a la WLAIM. Para ello se ingresa a la
opción de Users en la consola de administración del servidor, se da un clic
derecho y aparece el mensaje Add User, tal como lo muestra la pantalla de la
figura 4.27.
193
Odyssey Server Administrator - {Odyssey ScrverXUsers]
Archivo Acción Ver Ayuda
Odyssey Server
ActualizarExportar lista. „„
•i Ayuda
^Ch&féy^u Q\y elementos disponibles en esta vista.
Fig. 4.27 Configuración de nuevos usuarios en el servidor Odyssey
Luego aparece la pantalla de la figura 4.28, en la que se muestran los usuarios
inalámbricos creados anteriormente en el sistema. Se elige el primer usuario que
es usuariol y se lo añade con la opción Add; este procedimiento se sigue con los
10 usuarios creados en Windows y al final se tiene la pantalla de ia figura 4.29
con todos los usuarios autorizados en la WLAN.
¿dÜserOj) • , .;.,. :, ,. ;.......;\-,:..¿.¿^::^¿;^^^
Domain: JSAM
Usets:
Ñameü SAMSSQLDebugger£ SAM\SUPTORT_388945aO
£ SAMSusuariolQ£ SAM\usuario2$¿ SAM\usuario3
Xk - - - - - - - .
3
Full ÑameSQLDebuggerCN -Microsoft CorporaHon,L=Redmo,.usuariolusuariol 0usuarioZusuario3
... .... ,<¿-.. -
1 Description ifMIThis user account ís used b^ the VisÉsta es una cuenta de proveedor d.Usuario inalámbrico 1 i .-. t\o inalámbrico 1 0 ~ '
Usuario inalámbricoUsuario inalámbrico 3 ¡y|s
-" " - - . - - . . . . 1 I»1
Add
Type ñames separated by semícolons into the Ilst below. or select them from the líst above:
Policy; lAllow
OK Cancel
Fig. 4.28 Configuración de nuevos usuarios en el servidor Odyssey
Debe notarse que en el campo Policy se tiene la opción Allow que fue configurada
pbr defecto en el servidor para permitir que los nuevos usuarios estén autorizados
para acceder a la WLAN. Luego se aplican los cambios con OK.
194
ddUser(s) ,. |
Domaln: [SAM
Users:
Ñame
|fijSAM\usuaiio4
ÍSJSAM\usuario5
HJjSAMSusuaiioB
|£íSAM\usuario7
[£§SAM\usuario9 '
<.
Add
.rJ
j Ful! Ñameusuario4
usuarioS
usuarioS
usuario?
usuarioS
usuarioS
| Descriplíon
Usuario inalámbrico 4
Usuario inalámbrico 5
Usuario inalámbrico S
Usuario inalámbrico 7
Usuario inalámbrico 8
Usuario inalámbrico 3
;|
¡As!
¡7¡¡
i*¿!
Type ñames separated bj? semicolons into the list below, or selecl them fiom the list aboye:
SAM\usuariol; SAM \usuariol 0;SAM\usuarÍo2;SAM\usuario3;SAMSusuario4;SAM\usuario5;SAM\usuario6; SAM\usuario7; SAM\usuario8; SAMSusuarioS
Policy: JAItow
DK Cancel
Fig. 4.29 Nuevos usuarios añadidos al servidor Odyssey
Finalmente en la consola de administración de! servidor se muestran los usuarios
autorizados, tal como lo muestra la pantalla de la figura 4.30.
Con esto termina ia configuración del servidor Oddysey. Se tienen los parámetros
RADIUS listos, los usuarios autorizados y el AP con el que se va a comunicar
especificado. El siguiente paso es configurar el AP 340 de Cisco para que pueda
comunicarse con el servidor e interactuar para la validación de las credenciales de
los usuarios.
,,®^ §a^MnfiiM)Éí p^g^garaafií^GgO SMMArchivo Acdón Ver Ayuda
*• •* ID xti •$g, Odyssey Server
]-, íjj Settings;- -^ Access Pointsr -$ Groups
f™" PólicesDomains
'"-••^ Log5treams
Mame
Ü SAM\usuaríol
S 5AM\usuariolO
2 SAM\usuario2
S SAM\usuario3
2 5Alíl\usuario4
£ SAM\usuar¡oS
£ SAM\usuario6
£ 5AM\usuario7
S SAM\usuarlo8
£ SA[>1\usuarÍo9
| Policy
Allow
Allow
Aliow
Allow
Allow
Allow
Allow
Allow
Allow
Allow
| FullName
usuario!
usuario 10
usuario2
usuarios
usuario4
usuarios
usuarios
usuario?
usuarioS
usuario9
1 Description
Usuario Inalámbrico 1
Usuario inalámbrico 10
Usuario inalámbrico
Usuario inalámbrico 3
Usuario inalámbrico 4
Usuario inalámbrico 5
Usuario inalámbrico 6
Usuario inalámbrico 7
Usuario inalámbrico 8
Usuario inalámbrico 9
Fig. 4.30 Usuarios autorizados en el servidor Odyssey
195
4.5. CONFIGURACIÓN DEL AP AIRONET 340 CISCO
4.5.1. CONFIGURACIÓN BÁSICA DEL AP 340 CISCO
La configuración básica del AP se mantiene igual que la sección anterior, incluso
la configuración de herramientas de seguridad adicionales como MIC y TKIP es la
misma. La única variación que se tiene es en la aplicación del filtrado MAC que se
muestra a continuación.
4.5.1.1. Configuración de Filtrado MAC, TKIP y MIC en el AP 340 CISCO paraLEAP
Para la configuración del filtrado MAC en el AP se debe ingresar a Setup ->
Address Filters, luego de lo cual aparece la pantalla de ia figura 4.31.
APMOecenter AddfCSS FÜterS G l S C ° S Y S T E M $
Cisco AP340 12 04
|jMa| |Helpj| Uptiine:9 days, 23:5926
!NewMAC Address íilter:
DesiMÁC Address: | ~
í^AJlowe-d rDisallowed C Client Disaüowed : Add
The defauií setüngsformulticast and uaicast destination MAC addresses kmsmttedfromeachtieíworkinterface are specífied onthe AdvancedSetup page forthainetworkínleiface.
£xisting MAC Address íilters:
Remove
Lookup MAC Address on Authentication Server if not ín Exísting Pilter List? (*" yes C*. no
Is MA.C Authenücatíon alone sufficient for a client to be fiílly authentícated? <* yes <"" no
OK | . Cancel |
Fig. 4.31 Configuración de Filtros MAC
196
En el campo Dest MAC Address Filter se ingresan las direcciones MAC de las
tarjetas de los usuarios inalámbricos, con la opción Allowed y luego se presiona
Add. Como el filtro se aplica directamente en el AP la opción Lookup MAC
Address on Authentication Setverifnon Existing Filter List?, debe estar en A/o.
Además la autenticación por MAC autorizada no es suficiente por lo que la opción
Is MAC Authentication alone sufficient for a client to be fulíy authenticated
también debe estar en no.
Realizados estos cambios la pantalla final se muestra en la figura 4.32. Luego se
ingresa a la opción Setup -> Service Sets, donde aparece la pantalla de la figura
4.33. Aquí se selecciona el SSID de la red y se ingresa a la opción Edit.
ÁP34Qecenter AddrCSS FílterS C i s c o S Y S T E M S
Cisco AP34G12JÍ4
Uptime: 10 days, 00:20:20
TíewMAC Áddress íilter:DestMAC Adckess:
" AJlowed C Disallowed ^ Client Disallowed Add
The defauít settings formuiticast andunicast destínalíonMÁC addresses transmittedftom eachnetwofkinieiface aíe specifie,d'pnthe ÁdvancedSetup page forthatnetwoikínteiface.
Existmg MAC Áddress Iilters:QG:Qc:85:bb:af:35 AllowedH00:0c:85:bb:af:86 Allowed00:0c:85:bb:aí:87 Allowed-00:0c:85:bb:af;88 Allowed •00:0c:85;bb;af:89 Allowed¿J
Remo ve
Lookup MAC Áddress on Authentication Senrer íf not in Existíng Filter List? C yes f*" noIs MAC Authentication alone sufficient for a client to be fully authenticated? C yes í*" no
Apply OK Cancel
Fig. 4.32 Configuración de Filtros
AP340eceuter AP Radío Service Sets
Cisco AP340 12JJ4
¡ "~Setup ]"t
_Service_S_et StntiinarY Status
Device:SSID for use by Infrastructure Stations (such as Repeaters):Disallow Infrastructure Stations on aoy other SSID:
Service SetID(SSID):
Existmg SSIDs:[0] 1>WLAN(piimaíy)
C l S C Q S Y S T E M S
Uptime: 10 days, 01:2835
AP Radío
C yes t? no
AddNew '
EdR
Rernove
Apply J Oj< J Cancel | RestoreAII j
Fig. 4.33 Configuración Específica por SSID
197
Luego, aparece la pantalla de la figura 4.34. Hasta aquí se tiene el mismo proceso
de filtrado MAC de WEP. Debajo del tipo de autenticación utilizado que es EAP
Network, en la opción Default Unicast Address Filter se debe seleccionar
Disailowed, tal como se indica en la figura 4.34, se aplican los cambios y se tiene
configurado el filtrado MAC para LEAP.
AP Radio Prima ry SSID C i s c o S Y S T E M S
Cisco AP340 12.04
Device: AP Radío
Service SetID (Primary SSID): |l>WLAM
CurrentNumbcr ofÁssociatioas: 1 _
Máximum Number of Associations: JO _ J
Classify "Workgroup Brídges as Network Infrastructure: ©yes O noProxy MobÜe IP is enabled: Oyes ©no
Uptíme: 06:0551
Default VÍAN ID:
Default Poíicy Group ID:
Accept Authentication Type:Eequire EAP:Defauit Unícast Address Ürilter:
-None- ji -None-
Opeu
DD
iS'haretl
Ga
Nehrork-EAP0
Allowed ! Allowed ^¡¡Diseillowed
To requite Etaücorsctver-basedMAC-AddressauthcnUcaÜon, set'DefmltTJiiicast Address Filter" to "Dísallowed".
[ Apply ]| OK | | Cancel | { Restare DefsuHs
Fig. 4.34 Configuración de Filtros MAC
198
4.5.2. CONFIGURACIÓN LEAP EN EL AP 340 CISCO
Se debe acceder a la utilidad de configuración WEP, mediante Setup -> Security -
> Radio Data Encryption (WEP), luego de lo cual aparece la pantalla de la figura
4.35.
AP340ecenter AP Radio Data Encryption C l s c o SmEMS
Cisco AP340 12.04
If VLANs are »oi enabled, set Radio Data Encryption on this page. IFVLANs ore enabted, RadioData Encryption is set independentíy for each enabled VLAN through VLAbí Setup.
Use of Data Enciyption by Stations is: Hoí AvañablcMusí sei an Encryption Key or enable Broadcast Key Ifotationjirst
Accept Auíhentícation Type:Require EAP:
TransmitWitíiKey
"WEP Key 1:"WEP Key 2:
"WEP Key 3:
"WEP Key 4:
Open Shared Netvrark-EÁPF T P
r r
Encryption Key Key Size| ¡notsetjj
j J InotsetjJ| [notset ^j
1 - '• '• ¡notset •-;)
EnterílO-bit WEP keys as 10 hexactecima! digits (0-9, a-f, or A-F).Enter 128-bit WEP keys as 26 hcxadecimal digits (0-9. a-f, or A-F).
Tbis radio supports Enciyption fbr aU DaU Rates.
Fig. 435 Configuración WEP delAP 340 Áironet CISCO
Es recomendable configurar las claves WEP indicadas en el capítulo anterior ya
que éstas serán utilizadas por el AP para emitir mensajes de administración; de
igual forma la opción Use of Data Encryption by Stations is debe estar en Full
Encryption.
La diferencia con WEP, es que en la opción Accept Authentication Type debe
seleccionarse solamente Network EAP para que el único tipo de autenticación
autorizado sea EAP, en este caso en particular LEAP. Finalmente la pantalla
resultante se muestra en la figura 4.36. De forma similar a WEP, las herramientas
de MIC y TKIP también deben configurarse. Para habilitar ambas opciones se
debe ingresar a Sefup y luego en las opciones de AP Radio en Advance, con lo
que aparece la pantalla de la figura 4.37.
201
Ai'o40ecenter Authenticator ConfigurationCisco AP34012J04
802. IX Protocol Versión (forEAPÁuthenticatíon):
Primaiy Server ReaíteniptPeriod (Min.):
C I S C O SíSTEMS
Uptime: 06:3039
802.1X-2001
iServerNíiine/IP Server Type Poit fJhared Secret Refrán Bit {,iec)Max
I mADlUS ü 18121 i ÍTÜI iUse serrerfor: 0 EAP Authenücalion O MACAddressAuthenticaííon D UserÁyÜíentication U MIP Autíientication
RADIUS m 1812
Useserverfor: 0EAP Authentícation DMÁCAddiessÁutlienücation D UserAutlienlicaüoD O MíPÁuthenücetion
Use ser7erfor. 0EAP Áuíhenticatíon D MAC Address Autlientication D User Autíieníícatíon Q MIP Autlientication
RADUS m\2
Use seryerfoi; 0EAP Autheníication D MAC Address Authenticaííon d Useí AuthenÜcaiion D MIP Authentication
Mote: For each autheatícation fonction, íhe most recen% used server is shown ¡n grcen text
¡Applyl QK | | Cancel [ [ Restare Defaulte
Fig. 4.39 Configuración del servidor RADIUS para elAP
Como se puede apreciar, se tienen 4 espacios para servidores RADIUS, esto es
para ofrecer redundancia en caso de fallas y para tener varios tipos de EAP en la
WLAN al mismo tiempo.
La opción 802.1X Protoco! Versión (for EAP Authentication), es para elegir el tipo
de EAP con compatibilidad con el hardware de la red, por ejemplo si se tienen
tarjetas inalámbricas antiguas con fírmware obsoleto, esta opción permite elegir la
compatibilidad de EAP con esos equipos.
En este caso, se realiza una actualización de fírmware de las tarjetas para poder
utilizar toda la potencialidad del hardware, por lo que en esta opción se debe
elegir 802.1x-2001 que es la última versión compatible de funcionalidad EAP con
el fírmware actualizado.
La opción Prímary Server Reattempt Períod (Min.) es para establecer un período
de reconexión al servidor primario en caso de fallas. En este caso solo se tiene un
202
servidor RADIUS por lo que esta opción se deja en cero. Por el mismo motivo solo
se configura la primera posición para servidor RADIUS. En el campo Servar
Name/IP se coloca el nombre DNS del servidor o la dirección IP del mismo. Para
que no exista demora en la resolución del nombre y prevenirjaljosven DNS, es>.
recomendable colocar directamente siempre la dirección IP; en la solución la IP
del servidor es la 192.168.10.2.
En ef campo Server Type, se tienen 2 opciones, servidor RADIUS y servidor
TACACS, este último es un tipo especial de servidor AAA que tiene disponible
Cisco. Para la solución actual se elige la opción RADIUS.
El campo Port es el número de puerto mediante el cual se comunican el servidor
RADIUS y el AP. El puerto estándar para el protocolo RADIUS es ei 1812, sin
embargo para propósitos de seguridad es recomendable cambiar este número.
En el servidor se configuró el puerto 516 que está libre según el RFC 1700, por lo
cual el mismo puerto debe colocarse en esta opción del AP.
El campo Shared Secret es una clave secreta compartida entre el AP y el servidor.
Esta clave se utiliza para encriptar las credenciales del usuario que viajan a través
de la LAN cableada entre el AP y el servidor.
El AP permite una clave de hasta 64 caracteres alfanuméricos, sin embargo no es
recomendable utilizar toda la longitud posible ya que esto demora la comunicación
entre el AP y el servidor por el procesamiento requerido. La clave establecida
para el servidor y el AP es: q1w2ee.
El tiempo (en segundos) que el AP espera antes de que la autenticación falle se
especifica en el campo Reirán Int. Si el servidor no responde en este tiempo, el
AP trata de contactarse con el siguiente servidor en la lista si ei mismo se
especifica. Como sólo se tiene presente un servidor, este tiempo no es importante
y portante se lo deja con el valor predeterminado de 5 segundos.
203
El campo Max Reirán especifica el número de intentó^-que el AP realiza antes de
rendirse en la autenticación. Se mantiene el valor predeterminado de 3 intentos.
En las opciones de Use server for solamente se debe seleccionar EAP
Authentication; la opción de autenticación MAC se realizan en el AP, y las otras
dos no son necesarias.
Los campos referentes a los otros 3 servidores se dejan con sus valores por
defecto ya que sólo se tiene un servidor presente en la solución.
Con estos cambios la pantalla final de configuración EAP se muestra en la figura
4.40. Se aplican los cambios con Apply.
AP340ecenter Authenticator ConfiguratioiiCisco AP340 12.04
802. IX Protocol Versión (for EAP Auíheníication):
Primary Server KeattemptPeriod (Mín.):
C i s c o S Y S T E M S
Uptime: 082434
8Ü2.1X-2QQ1 S
Server Nmne/IP fterver Type Port Shared ííecret Refrán Bit (.sec)
Useserverfor: 0 EAP Áuthenlication Q MAC Address Áuthentication D User Authentication D MIP Au&entícation
Use serverfor: 0EÁP Authenticaíion Q MAC Address Auihentication Q UserAuthentication Q MIP Authentication
Useserverfor: 0EAP Autheatícaticm D MAC Address Authenücation D UserAuthenticaíion D MIP Authentication
MaxRetrau
[3 I
Use server for: 0EAP Authentication D MAC Address Áuíhentícaíioa D User Áutheníication D MIP Áuíhenticalion
Note: For each autíientícation function, the most recenÜy used server is shown ín green text.
[ Apply | | Q K ) | Cancel [ | Restors Defaults |
Fig. 4.40 Configuración final del servidor RADIUS para elAP
Con esto finaliza la configuración de EAP en el AP. Se debe aclarar que esta
configuración es genérica para cualquier tipo de EAP ya que el caso específico de
LEAP es manejado en el servidor RADIUS.
204
4.6. CONFIGURACIÓN DEL USUARIO CON TARJETA PCMCIA
AtRONET 350 CISCO
La instalación de la tarjeta inalámbrica es sencilla, ya que,eLsistema WXP
reconoce automáticamente el hardware. La instalación del software de Cisco de
manejo de WLAN's se explica en el anexo 3. Con estas premisas se empieza
directamente con la configuración del software de manejo de WLAN's para LEAP.
Lo primero es crear un nuevo perfil para el manejo de seguridad LEAP en el
utilitario de configuración del fabricante, el ACU.
Para crear el perfil se ingresa a la opción Profile Manageren la pantalla principal
del ACU, con lo que aparece la pantalla de la figura 4.41.
Fig. 4,41 Pantalla de Administración de Perfiles
205
Se da un clic en Add y se asigna un nombre al perfil, en este caso usuarioLEAP,
se da clic en OK para ingresar a ia configuración del perfil en la pajntajla de la
figura 4.42.
SystemParameters JRFNetwork] Advanced(Infrastructure) Network'Securitjj
Client Ñame:
SS1D1:
SSID2:
SSID3:
- Power Save Mode: ™^—T^-^--—-^-~
|i 0- CAM (Constan^ Awake Mode]
i' OMaxPSP(MaKPowerSav¡ngs)
Í O Fast PSP (Power Save Mode)
NetworkType:--
QAdHoc
0 Infrastructure
Defaults
Cancel Help
Fig. 4,42 Pantalla de System Parameters
Aparecen las opciones de System Parameters, aquí se asigna un nombre al
cliente, por ejemplo usuariol, luego se configura el SSID que es IxWLAN, los
demás son parámetros por defecto para el tipo de red. Se elige una WLAN de
infraestructura y manejo de la energía tipo CAM (Constantly Awake Mode) que
indica que las estaciones serán advertidas de eventos en la WLAN, La pantalla
final se muestra en la figura 4.43.
Hasta este punto la configuración es la misma que en e! caso de WEP. La
diferencia fundamental radica en los parámetros de la pantalla Network Security
mostrada en la figura 4.44.
206
Advanced ([nfrasttucturej | MetworkSecur¡ty|
Client Ñame: |USUar'01
SSID1:
SSID2:
SSID3:
. PowerSaveMode:-•—-=-•--?.—-—-=.:-:. <*> CAM (Constant!^ Awake Mode]
O Max PSP (Man Power Savings]
' C- Fasl PSP [Power Save Mode)
- Nelwork Type: ™-
i QAdHoc
í*"1 Infrastructure
Defaults
OK Cancel Help
Fig. 4.43 Pantalla de System Parametersfinal
JÜ
System Parameteis | RF NetWork | Advanced (Infraslructure) Network Securíly
Network Secutily Type:
OUseStaticWEPKei'sNone
,r Static WEP Keys -•?-. ------— -~-
; -WEPKeyEntryMethod:-
AlreadySel?
Transmit
r; WEPKeyl: ^ [_p- ICDV ?. C'i I
WEPKeyS:
WEPKeySíze40 128
~ ¡ <*;
C:'
n WEPKei<4: _
f"; Allow Association To Míxed Cells
"í ff) r>¿i - ""! r?-, o
í?, r;
Defaub
OÍC Cancel Help
Fig. 4.44 Pantalla deNehvorkSecurity
207
En la opción Network Securíty Type se debe elegir la opción LEAP, como se
muestra en la figura 4.45, luego para la configuración específica del mecanismo
de seguridad se debe ingresar en la opción Configure, en la pantalla de la figura
4.46.
System Paramelers I RF Metwork I Advanced (I nf lastradme) Network Security ••
Network Security Type: WEP:
|LEAP___ _
~C>a(í»\tiEO Ifa>i<v~—- — -- — !_"1_U___-1' ". '.~. U'••- SiailC Wtr NeyS"^^- ~.:^_•- i;;-rr~r,TI --™ --^-~f.-rT^r-^-^T-Trrrx^-rr.-rr; :.-m.--•.ü; '."r;• — -
,; j-WEP Key Entty Method: ^ -- —¡. /-Access Poínt Au(hent¡cat¡on:!* í? H-^-I;--, .'(H/i, ^,. ¡: " I fl-j.-n-— ,-' '.r-ír.,-rj. V- ntlíí.Jt^JJ^tlJ'J.ff.,! j; j r l J •Jffk,.'-V.M-Tv.VJ...Jr«r
Alieady Transmit WEP Key SfeeSel? Key 40 128
O WEP Key 2: O [__ "__ __| ^ O
G WEP Key 3: C ' [ ^ ^_.Hj! ® ^''
O WEP Key 4: O | _._,.,._" '! ^ -'
P¡ Allow Ássociatíon To Míxed Cells i D.efaults I
OK [ Cancel J Help
Fig. 4.45 Pantalla principal delACUcon la estación asociada
35
LEAP User Ñame and Password Settings—--^—--——-•-—-;-••—•? ~^.-^—=~~—
p&) Use Temporarji Usef Ñame and Password .-. .--••j n- - -. - -.-r r-:-
O Use Windows Uset Mame and Password
O Automatically Prornpt for LEAP User Ñame and Password
O Manually Prompt for LEAP User Ñame and Password
O Use Saved User Ñame and Password ~--r^—~™-^-^—----------
User Ñame: F í|
Password: j \m Password: j !j
Domain: I ' j
P|í Include Windows Logon Domain Wíth User Ñame
P í No Network Conneclion Unless User is Logged In
LEAP Aulhentication Timeout Valué (seconds): pP
Defaults OK Cancel 1 Help
Fig. 4.46 Pantalla de final de Nehvork Security
208
La pantalla de la figura 4.46 permite configurar la forma específica de presentar
las credenciales en la WLAN. Se tienen 2 opciones, la primera es Use Temporary
Username and Password, que consiste en utilizar un nombre de usuario y
contraseña provisionales, aquí a su vez se tienen 3 sub-opciones que son:
> Utilizar las credenciales de usuario de Windows,
> Automáticamente solicitar las credenciales
> Manualmente colocar las credenciales para la validación en la red.
La otra forma de presentar las credenciales es más transparente para el usuario.
Es la opción de Use Saved Username and Password, que implica almacenaran
nombre de usuario y contraseña en la estación para que automáticamente se
presente a la WLAN cuando sea necesario, así el usuario no tiene que escribir
cada vez que sean requeridas sus credenciales.
Por comodidad de utilización de la WLAN, ésta es la opción más adecuada
Luego se tienen 2 opciones adicionales de configuración.
> La opción Indude Windows Logon Domain With User Ñame que añade el
dominio de la red de Windows al nombre de usuario. Esto se utiliza cuando
se tiene presente un dominio de Windows y el servidor RADIUS integra el
dominio en el nombre de usuario.
> La opción No Network Conection Unless User is Logged ¡n, que sirve para
evitar que se acceda a la WLAN sin que un usuario autorizado ingrese al
sistema operativo.
Finalmente se tiene el parámetro LEAP Authentication Timeout Valué (seconds),
que permite especificar el tiempo de respuesta de la WLAN después de que el
usuario presenta sus credenciales.
209
Por ejemplo si la red no está activa este parámetro indica que luego de 60
segundos de no obtener respuesta, el software emitirá un mensaje de fallo de
autenticación.
En correspondencia a las necesidades del problema, los parámetros
seleccionados para la presentación de las credenciales son los mostrados en la
pantaila de la figura 4.47.
\mpmmm"^^v'',- 1 rr '-^
i
i
AP User Ñame and Password S
-,S A* - * - * , , ' >- ^
.
i 15^|¿*ÍJ
^0 Use Saved User Ñame anc
User Ñame;
Password:
: Confifm Password:
Domain:
J PdSsWuld —
usuario!
**""********"***""**m**
_ ^_J!
Q Include Windows Logon Domain With User Ñame
W No Network Connection Unless User ¡s Logged In
LEAP Aulhenticatíon Timeout Valué (seconds): (60
I Defaults
Fig. 4,47 Pantalla de final de Nehvork Security
Para aceptar los cambios se da un clic en OK, luego se retorna nuevamente a ia
pantalla de la figura 4.48 y se aplican los cambios con un nuevo clic en OK.
210
Una vez que se tiene el perfil correcto configurado se lo debe aplicar. Para esto se
elige la opción Select Profile de la pantalla principal, luego de lo cual aparece la
pantalla de la figura 4.48.
Setecl Profile
Use Selected ProfÜe (•> ]usuarioLEAP
Uf.-;-í,Wí-- í?fwHl!= l'.isll.V.iJ',. O !__„___„._._.
Use Anothei Application To Configure MÍ» Witeless Seltings O
Cancel Apply Help
Fig. 4.48 Pantalla Select Profile
Se selecciona el perfil usuarioLEAP creado y se io aplica con Apply. Una vez
hecho esto, el sistema empieza el proceso de autenticación LEAP, esto se verifica
con la presencia del mensaje de la figura 4.49.
Luego de la negociación de credenciales con el servidor ia estación se asocia
correctamente lo cual se puede visualizar en la parte inferior de la pantalla
principal del ACU como lo indica la figura 4.50.
'léase wait.
LEAP Authenticalion in progress ...
Status: Starting LEAP Authentication
Cancel
Fig. 4.49 Negociación de credenciales LEAP en proceso
Se puede apreciar que el usuario está asociado al AP con el nombre
AP340ecenter y con dirección IP 192.168.10.1. Con esto termina la configuración
del cliente inalámbrico con seguridad LEAP. El siguiente paso es la realización de
pruebas de conectividad y de segundad de la red inalámbrica.
211
M A( ronet Client Utfttty
Sefcct Proffie Status Stafctics Load LWcTest Ste Ur* Preferen Hép AboutProfíe Managtr Rrmy/áfe Sürvty Status... ees
C i s c o S Y S T E M S
Aironet Client Utility V5.05
YoiT3SD Series tsAssodateíltoAP3-30ecwiter tPAddrescl92,16S.lD.l
Fig. 4.50 Pantalla principal delÁCU con la estación asociada
4.7. PRUEBAS DE FUNCIONAMIENTO
4.7.1. PROCESO DE AUTENTICACIÓN NORMAL
Para esta prueba de funcionamiento se tiene un usuario debidamente autorizado
en el servidor RADIUS y con los parámetros de configuración LEAP correctos en
el ACU. En la tabla 4.4 se muestra el usuario con sus datos respectivos.
Usuario LEAP autorizado
Parámetro
Nombre
Contraseña
IP
MAC
Seguridad
Perfil
Valor
Usuariol
azsxOI
192.168.10.10
000c859a2120
LEAP
usuarioLEAP
Tabla 4.4 Usuario inalámbrico de pruebas
212
El proceso de autenticación comienza automáticamente después de que el
usuario conecta su tarjeta inalámbrica. El software de manejo de WLAN's
empieza la negociación de las credenciales del usuario con la red, esto se puede
verificar con la presencia del mensaje de la figura 4.49 en la pantalla. La
negociación demora aproximadamente 6 segundos, luego de lo cual el usuario se
asocia a la red como lo muestra la pantalla principal del ACU en la figura 4.51 En
la pantalla Link Status Parameters de la figura 4.52 también se puede observar
que el usuario está correctamente asociado y activo.
Comíanos Ópticos Hefp
Seiecí Proffie Status StstáSc* Load UnJcTest Srte Unk Prefsren He!p About! ProKe Manaoer ñravsare Survey Status... ees
C i s c o S Y S T E M S
Aironet Client Utílity V5,05
YM 350 Series ts Assodaled to AP340«enÍa- I? Adriress 192.158.10,1
Fig. 4.5J Cliente asociado alÁP con LEAP
Signa! Qualrty-100%
Unh Quality to Access Point AP340ecenterIP Address 192.168.10.1 MAC Address 00; 40:96:3 6:67: AD IsEXCELLEHT
Help
[Vour 350 Serles Is Associated to AP31Qecenter IP Address 192,168,10,1 IS117PM ^
Fig, 4.52 Pantalla Link Status Parameters con la estación asociada
213
Para observar más información sobre el tipo de conexión que se establece, se
puede ingresar a ia opción Status del ACU, en la pantalla de ia figura 4J53. Un
resumen sobre los principales parámetros que se muestran en esta pantsfllat--se
presenta en la tabla 4.5.
DeviceSerial NumberManufacturarFírmware VersiónBoot Block VersiónNDIS Driver VersiónDefaultProfileCurrent ProfileUsing Shott Radío HeadersUsing Message Integrity CheckServer Based AuthenticatíonWEP (Wired Equivalent Privacy)Authentication typeAntenna SelecüonChannel SetClient ÑameMAC Address (Factory)IPAddressCurrent LínkSpeedData RateCurrent Power LevelAvailable Power LevéisChannel (Frequency)
StatusSSIDMetwork TypePower SaveModeAssociated Access Point ÑameAssociated Access Point i P AddressAssociated Access Point MAC
Current Signal Strength
Current Signal Quality
Overall Línk Quality
350 Series PCMCIAAMB071209ZV/Cisco Systems, Inc.V5.41V1.50V8.01.06usuarioLEAPusuarioLEAPYesYesLEAP AuthenticatedEnabledOpen
North AmericaU10CNF4300BHD00:OC:85:BB:AF:27192.168.10.1011 MbpsAuto Rate Selection100 mW1, 5, 20, 30, 50,1 00 mW6 [2437 MHz]
AssociatedIxWLANInfrastructureCAMAP340ecenter192.168.10.100:40:96:36:67:AD
Excellent
Help
Fig. 4.53 Pantalla principal del ACU con la estación asociada
214
Parámetros del Enlace
Tarjeta inalámbrica
Fabricante
Firmware de la tarjeta
Perfil utilizado
Seguridad WEP
Autenticación
MAC
IP
Velocidad del enlace
Potencia de la señal
Frecuencia
SSID
Tipo de red
Se/ver Based Authentication
s
350 PCMCIA
Cisco Systems Inc.
V 4.25.30
usuarioLEAP
/es
Open
000c85bbaf27
192.168.10.10
11 Mbps
100 mW
Canal 6 (2437 Mhz)
IxWLAN
Infraestructura
LEAP Authenticated
Tabla 4.5 Información sobre el enlace inalámbrico del usuario
215
El cliente también se muestra activo en la pantalla Home del AP, como lo muestra
la figura 4.54.
AP340eceuter Suinmary S tatllS
Cisco AP340 12 J04®
; Current AssociationsCliente: l o f l
!
Tiine
04:53:06
04:53:06
04:53:06
Severifcy
Mo
Info
lofo
Repeaters: 0 of 0 Bridffes:0 o f O APs: 1
Recent EventsDescripción
Station=[UIOCl>IF4300BHD1000c85bba£27 TJsei^'usuariol ' EAP-Authenticated
Station r"OIOCKF4300BHD1000c85bbaf27 Associated
Station [inOCKF4300BHD]OOOc85bbaf27 Authenticated
Device
Ethernet
AP Radio
Status
Up
üp
Network Ports
Mb/s100.0
11.0
IP Addr.
192.168.10.1
192.168.10.1
Diagttostics
MAC Ad(b.0040963 667ad
0040963667ad
Fig. 4.54 Pantalla Home delÁP con el usuario 1 asociado
En el AP se presenta información sobre el tipo de usuario que está asociado y su
nombre, en este caso usuariol, además se indica que fue autenticado mediante
EAP, en particular con LEAP.
Para obtener mayor información sobre el usuario se puede dar un cüc en el
enlace del nombre del equipo del usuario o en su MAC, luego de lo cual se
muestra la pantalla de la figura 4.55.
En la opción Status de esta pantalla se muestra la siguiente información: EAP
Authenticated, WEP, Key Permute, MIC, Short Preambles;e$t& información indica
que se trata de un usuario autenticado con EAP, con llaves WEP dinámicas y con
integridad MIC.
216
La información Short Preambles también dice que la estación se conecta con la
mayor velocidad posible.
fluíSystem Ñame
'MACAddressUIOCOT4300BHD Device 3
Uptiflie: 04:59:30
50 Series Client
00:0c:35:bb:af;27IPAddress 1*192.168.10.10
VLÁNID 0 PolicyGrp. 0
State Assoc, AID=29, SSID-Q Class Cllient
Stahis EÁP Authenticated, WEP, Key Permute, MIC, Short Preambles
Deauthenticate Disassociate
Nurnber of Pkts.
Number of Pkts.
To Stílfiou Jüert DPackeis OK
Total BytesOK
Total ErroraMax.ReíryPkis.
Short Reüies
| Long Reírles
1 MIC Packets
¡ MIC Errare
9S64678690 .
4
Clearí
5 Pkt. Size 6-1
100 Pkt. Size BOO
3tats Refresh
Ping
LinkTesí
From Stütíou ¿t&t DPackets OK |
Total BytesOK j
Total Errors |
9415982643
0
4 1 i169 Vi^EP KrtuiTis j 0454 1 |708 MC Packets |
0 |MC Errara |
|MCSequ.Errors |
MCAuih. Errara |
706000
Parení
Current Raíe
1 Latest Reüies
[seli]
LOMb/s
31 shorí,91ong
1 Hops to Infra.
NextHop 1 [self|
Operational Rates
Latest Signa! Sír.
Echo Packets j
1.0B,2.0B,5JB,11.0BMb/s100%
0
Fig. 4.55 Pantalla principal del ACU con ¡a estación asociada
217
Como prueba de conectividad se puede realizar un ping a diferentes sitios de la
red. Por ejemplo en la pantalla de la figura 4.56 se muestra el resultado de un
ping hacia la dirección IP del AP 192.168.10.1 desde la estación del usuario.
|{it Command Prompt 1Microsoft Windows XP CUersion 5.1.26003CC> Copyright 1985-2001 Microsoft Coarp-
C:\Documents and Settings\fldniinistratov>pincf 192.168,10.1
192.168.18.1 uith 32 byfces o£ data:
fvorn 192 .Í68 -10.1: )>¿Ftes«32 timc=2ns TTL=64Reply f r o m 192 .158,10.1: bytes=32 cime=2ms TTL=64
Fvon 192.168.10,1: bytes«32 tine«=2ms TTL=64JFron 192.168.10.1: Jjiítcs~32 time~2rr>s TTL=64
Ping statistics For 192.168.10.1:Packets: Sent = 4, Keceiued - 4, Losfc = 0
npproximatc round ti»ip times in milli— seconds:Mínimum = 2ns, Máximum « 2ms, flgeracfe » 2n
C:\Documents and Settincfs\fldministratoj*>
/g. 4.56 Ping hacia elAP desde el usuario LEAP
Como se puede apreciar los tiempos de respuesta son de apenas 2 ms, un muy
buen tiempo para una WLAN. Con esto se verifica una correcta conectividad de
radio. Ahora se puede realizar una prueba de conectividad hacia la LAN cableada
desde la WLAN, para esto se realiza un ping desde la estación hasta el servidor
proxy de la red con la dirección IP 192.168.10.2, obteniendo el resultado de la
figura 4.57.
[31 Command Promptlicroaoft Windows XP CUersion 5.1.26003<C> Copyright 19G5-2001 Mici'osoFfc Corp.
2:\Docunents and SetL'ing'sNfldninistraCorOpiníí "J.92.1G8.XB.2
172.1G8.J.0.2 uicJi 32 hiíteo of data:
Reply Fron 192. lf»8 .10.2: hytes«32 Cine=2ms TTL=J.28plií Fron 192. 168.10. 2t byCes=32 tine=2ns TTI.«128ply Fron 192.168.10.2: bytes*32 uine=2ms TTL«128
Rcp'ly Fron 192.168 .10-2: hi)bes«32 eine=2ns TTL-128
Pínjr statictics JFor 192-1G8.10.2:Pacííets: Sent: « 4., Rccciued = 4, Lost = 0 <0x: losc>,
Ipproxinatc round trip Cines in tniXli— secontls :Hininun •= 2ns, Maxinün = 2mc, ñuet-affc *» Zns
Fig. 4.57 Ping hacia el Sei-vidor Proxy desde el usuario LEAP
Se puede apreciar que el resultado del ping es exitoso, obteniéndose respuesta
desde e! servidor proxy con tiempos de 2 ms.
218
4.7.2. CLIENTE SIN CONFIGURACIÓN DE SEGURIDAD
Ahora se tiene el caso en el que un cliente desea conectarse la WLAN^ero no
tiene configurado ningún parámetro de segundad. Por ejemplo su configuración
en las opciones de Network Securítydel ACU sería la que se muestra en la figura
4.58.*35d"Series Pr^pertles - [fr
Syttam Parametea | RF Hetwork | Adverced (Wrottiucture) Hetwtxk Secu*y j
NetwxkSocwíyTypa: """"
StoBcWEPKeye-
TranvntfeySet?
O WHPKeyl: ^ \____ _
O WEPKe^fc
P; WEPWsy3:
r. WEPKey4:
p-'MoWEPr UscStaítaWEPKeyBr
/cctM PoM í*Uhertfcatksn:
WEPKeySü*40 128
Auodetfcn To Mbted Cela
Cancd j
Fig. 4.58 Parámetros Nehvork Security del cliente
Al aplicar esta configuración el usuario no se autentica y por tanto no se puede
asociar a la red. Por este motivo la pantalla Link Status Parameters es la
mostrada en la figura 4.59.
Select ProfiProfÜe Mana
l Qua3y - OíaYour Cisco Wlretess LAH Adapter te Mal Assacialed!
Help
About
Your 350"s«1es'tsÑotÁssQqatedÍ . " _ f7;46AM ^
Fig. 4.59 Pantalla Link Status Parameters con la estación no asociada
219
4.7.3. CLIENTE CON NOMBRE DE USUARIO INCORRECTO
Ahora se tiene un usuario debidamente autorizado, con su MAC acreditada en el
AP, con su nombre y contraseña establecidos en el RADIUS y sin ningún
parámetro de configuración erróneo, como es el caso del usua.ci.o1.
Si al momento de ingresar su nombre de usuario se equivoca e ingresa por
ejemplo usuariox en lugar de usuariol, el servidor RADIUS no otorgará el acceso
a la WLAN a pesar de tener el resto de parámetros bien configurados.
Para realizar esta prueba se puede utilizar la opción Manual LEAP Login del menú
Commands del ACU, como lo muestra la pantalla de la figura 4.60.
Load New Fírmware
SelectProfile,,,
ProFileManaqer,,,Dtatistic Load
s Firm,,
Statistics...
Status,..
Linktesfc..,
5¡te5urvey,,.Turn Radio Off
Link Status Meter...
Link Site Link PrefereTest Survey Statu... nces
About
Aironet Client Utility V5.05
Your 350 Series ¡s Associated to AP340ecenter IP Address 192.168.10.1
Fig. 4.60 Opción Manual LEAP Login
5;52PM
220
Luego de esto aparece la pantalla de la figura 4.61 en la que se puede ingresar
manualmente el nombre de" usuario y la contraseña para acceder a la WLAN.
Además también se puede ingresar el dominio en caso de ser requerido. En este
caso, en el campo User ñame se ingresa usuariox en lugar de usuariol.
Al aplicar con OK este nombre aparece el mismo mensaje de negociación de
credenciales de la figura 4.49.
Enter Cisco Wireless Network Password
Pisase enter your LEAP user ñame and password to log on tothe Wíreless network.
User ñame; (usuario:-;
Password: xxxxd
Log on to: JUIOCNF4300BHD (this c o m p u t e r ] J
Fig. 4,61 Pantalla Manual LEAP Login delÁCU
Luego de unos 8 segundos aparece el mensaje de la figura 4.62, el cual indica
que no se logró autenticar al usuario debido a que su nombre o su contraseña no
están correctos.
LEAP Authentication
Unable to authenticate wireless user, Please make sure you have entered the right user ñame and password and tryaqain,
Fig, 4.62 Mensaje de error de autenticación LEAP
En el AP también se registra esta'actividad; en la pantalla Home de la figura 4.63
se muestra una alerta (warning) en la que se indica que un usuario con el nombre
usuariolx trato de autenticarse con EAP pero sin éxito.
221
orne'
CurrentAssociationsCuento: l o f l RepeateniQofQ Brutees: O o f O APsM
Recent EventsTune
05:13:00
05:13:00
05:13:00
Seveiitv
SÉ*Mo
Mb
Descriptiou
Statíon=ÍTJIOCNF4300BHD1000cB5bbaf27 usei="usuariox" FailedEAP-Áuiiieüticatioii
Station [UIOCMF4300BHD1000c85bbaf27 Associated
Station [ÜIOCMF4300BHD1000c85bbaf27 Auíhenticated
Device
Ethernet
AP Radio
Stadw
Up
Up
NetworkPorts
Mb/s100.0
11.0
IPAddr.
192.168.10.1
192.168.10.1
Diagnostics
MACAdfc
0040963667ad
0040963667ad
Fig. 4.63 Pantalla Home delÁP con registro de un intento fallido de autenticación
4.7.4. CLIENTE CON CONTRASEÑA INCORRECTA
Es un caso similar al anterior, pero en esta ocasión se prueba con el nombre de
usuario correcto y la contraseña equivocada, es decir se aplica el nombre
usuariol pero con contraseña azsxOx en lugar de contraseña azsxO.1.
Se aplican estas credenciales con la opción Manual LEAP Login utilizada en el
punto anterior, en la pantalla de la figura 4.64.
Enter Cisco Wireless Network Password
Please ente'r^our LEAP user ñame and password to log on tothe Wireless network.¿ •
JJser ñame: jusuaribil
Password: ]«««>»=«
Log on to: JUIOCNF4300BHD (this computer) V]
Fig. 4.64 Pantalla Manual. LEAP Login delACU
222
Una vez aplicadas estas credenciales aparece el mensaje de negociación de
credenciales LEAP. Luego de 8 segundos aparece el mensaje de la figura 4.65 en
la pantalla que indica que no se logró autenticar ai usuario debido a que su
nombre o su contraseña no están correctos.
LEAP Authentication
Unable to aufchenticate wireless user, Please make sure you have entered the right user ñame and password and tryagain,
Fig. 4.65 Mensaje de error de autenticación LEAP
De igual forma que en el caso anterior, en el AP también se registra esta actividad;
en la pantalla Home de la figura 4.66 se muestra la alerta en la que se indica que
un usuario trató de autenticarse con EAP pero sin éxito.
Uptime: 05:22:04
Current Associations
Cuente: 1 of 1 Repeater.s: 0 of 0 Bridges: 0 of 0 APs:l
Recent Events
Time
05:21:27
05:21:27
05:21:27
Severity
"Warning
Mb
Mo
De.iciipíion
Station=rüIOCNF4300BBD1000c85bba£27 uset="usuariolM FailedEAP-Authentication
Station [HIOCHF4300BHD1000c85bbaf27 Associated
Station [UIOCMF4300BHD1000c85bba£27 Authentícated
Device
Ethernet
AP Radio
StatitíUp
UP
Network Port$
Mb/s
100.0
11.0
IPAcldr.
192.168.10.1
192.168.10.1
Diagnostics
MAC Addi-,
0040963 667acl
0040963 667ad
Fig. 4.66 Pantalla Home delAP con registro de un intento fallido de autenticación
223
4.7.5. CLIENTE SIN MAC AUTORIZADA
Se tiene un usuario autorizado en el RADIUS y con una configuración LEAP
correcta; sin embargo su dirección MAC no está autorizada en el filtro del AP. La
tarjeta que se utiliza para esta prueba tiene la dirección MAp^OOOc859a2120 que
no está autorizada para ingresar a la WLAN según el filtro que se muestra en la
pantalla de la figura 4.67.
Al realizar la prueba de autenticación aparece el mensaje de negociación de
credenciales LEAP. En esta ocasión el proceso demora más del promedio de 8
segundos, y en aproximadamente 15 segundos se despliega el mismo mensaje
de fallo en la autenticación LEAP de la figura 4.65.
AP340ecenter AddrCSS Filters
Cisco AP340 12.04
C i s c o S Y S T E M S
Uptime: 10 days, 00:20:20
New MAC Address ffüter:
DestMACÁddress:
" Allowed O Disallowed C Client Disallowed Add
The default s ettings fot multicast and unicast destínation MAC addresses transmittedfrom each neíworkínterface are specified on the Advanced Setup page for tíiat network interface.
Existins MAC Address Elters:
OQ:Oc:85:bb:af;85 Allowed Remo veOÜ:Oc;85:bb:af:86 AllowedQQ:Oc:85:bb;af:87 Allowed'00;0c;85:bb;aí;88 Allowed:
00:0c;85:bb:af;83 Allowedjij
Lookup MAC Address on Authentícation Server if not ín Existing Filter List? C yes & no
Is MAC Authentication alone sufficient for a clientto be fully authenticated? C yes (*" no
Appiy OK j Canee! Remove All
Fig. 4.67 Filtro MAC en el AP
Es el mismo mensaje de error de usuario o contrasena incorrectos, sin embargo el
fallo en la autenticación no se debe a ello, sino más bien a que la MAC de la
tarjeta utilizada no está autorizada para acceder a la WLAN. En el AP se puede
224
visualizar este proceso en mayor detalle. En la pantalla Home de la figura 4.68 se
muestra que efectivamente el usuario fue autenticado y debidamente asociado a
la WLAN ya que sus credenciales son correctas. Sin embargo luego de esto se
procedió a validar la dirección MAC de la tarjeta del cliente y efectivameate^sB
comprobó que no es una entrada autorizada en el filtro y por tanto el AP procedió
a desautenticarla. Por este motivo el usuario no puede asociarse a la WLAN.
TIptíntfi: n5:?7r?l
Current Associations
Cliente: O o f l Repeaters: 0 of 0 BridsesiOofO | APs: 1
Recent Events
Time
05:37:04
05:37:0405:35:34
05:35:34
Severítv"
Mo
Waniing
Mo
Mo
Description
LeauftAuthen
enticatinñ [UIOCKF4300BHD1000cS59a2120, reason "Previoustication No Longer Valid"
EAP retry Hmit reached for Station rUIOCHF4300BHD1000c859a2120
Station [TJIOCKF4300BHD1000c859a2120 Associated
Station [UIOCMF4300BHD1000c859a2120 Authenticated
Bevice 8 tatas
Ethemet
AP Radio :
Up
Up
NetworkPorts
Mb/s100.0
11.0
IPAdíü-.
192.168.10.1
192.168.10.1
Diagnostics
MAC Adcb-.
0040963667ad
00409 63 667ad
Fig. 4,68 Pantalla Home delÁP con registro de un intento fallido de autenticación
4.8. PRESUPUESTO REFERENCIAL
La solución de seguridad con LEAP es por supuesto más costosa que la solución
con WEP, esto se debe principalmente a que se incrementa el valor de la licencia
del software de servidor RADIUS. En la tabla 4.5 se muestra un desglose del
presupuesto final de la solución de una WLAN segura con LEAP. Como se puede
apreciar, el costo final de la solución LEAP es 4411 uscl, casi el doble del la
solución con WEP (2290 usd). No se toma en cuenta el costo del hardware del
servidor ya que el mismo se puede instalar sobre una PC de la empresa que
cumpla con los requerimientos mínimos.
225
Número de Precioítem Descripción Cantidad Total
Parte Unitario
1
2
3
4
5
6
7
8
AIR-
AP342EZR-A-
K9
AIR-PCM352
Configuración
delAP
Configuración
delAP
Configuración
de usuario
LEAP
Configuración
de usuario
LEAP
Servidor
Odyssey de
Funk Software
Configuración
del servidor
Access Poínt802.11b,
100mW, DuaIRP-TNC,
FCC, incluye 2 antenas
dipolares.
Tarjeta PCMCIA
802. 11 b con antena
integrada
Configuración básica
delAP
Configuración de
seguridad LEAP en el
AP
Instalación de software
y drívers en usuarios
Configuración de
seguridad LEAP en
usuarios
Ucencia del servidor
RADIUS
Configuración LEAP en
el servidor
1
10
1
1
10
10
1
1
950*
110*
40 (1 hora
técnica)**
40 (1 hora
técnica)**
40 (3 horas
técnicas)**
40 (1 hora
técnica)**
2000
40 (1 hora
técnica)**
950
1100
40
40
120
40
2081
40
TOTAL 4411
* Estos precios son ofertados actualmente por Cisco Systems Inc. e incluyen el 12% de IVA.
** Se considera el precio en función del número de horas técnicas requeridas, a un precio de 40
usd cada hora técnica.
Tabla 4.5 Presupuesto final par a una WLAN con WEP
226
En el costo total, el precio de la licencia del servidor RADIUS implica cerca del 50
% del costo total de la solución final. Es por ello que se debe tener presente que
para una red pequeña no se justifica el nivel de escalabilidad y la facilidad de
administración que ofrece el método EAP en general.
En el caso particular del problema planteado, con una WLAN pequeña y con
perspectivas de crecimiento,- no se justifica realizar la inversión en EAP, ya que
por et momento el número de usuarios es pequeño y no es necesario utilizar un
método tan escalable de seguridad como lo es LEAP.
En las conclusiones finales del presente trabajo se presenta un análisis más
detenido sobre el tipo de solución que se debe elegir para cada situación.
227
5. CONCLUSIONES Y RECOMENDACIONES
5.1. CONCLUSIONES
5.1.1. BROADCAST DEL SSID
Los AP tienen predeterminada de fábrica la opción de emitir el SSID de la WLAN
en broadcast y en claro hacia su entorno. Esto implica que el AP realmente está
emitiendo una invitación para conectarse a su WLAN.
Muchos utilitarios de manejo de WLAN's tienen la opción de realizar una
búsqueda de redes activas detectando los mensajes de broacícasf del SSID de ios
AP's. El mismo utilitario Windows XP tiene esta opción. En función de lo
mencionado anteriormente, es indispensable desactivar esta opción para
mantener el compromiso de seguridad en la WLAN. Es necesario tener claro que
mientras más información se proporcione sobre un sistema, más fácil será
violentar su seguridad.
5.1.2. COMPATIBILIDAD
Un problema siempre presente en redes inalámbricas es ia compatibilidad entre
equipos de diferentes fabricantes. Funcionalidades como TKIP y MIC pueden ser
soportadas por una marca y por otra no. Debido a esto es necesario elegir con
precaución el hardware y el software a utilizarse en la WLAN.
Se tiene que recopilar información de manuales de los fabricantes y de diseños
anteriores con equipos similares. No es buena idea dejarse llevar sólo por ei
precio, ya que por un costo adicional se puede tener garantía de compatibilidad,
228
actualizaciones de fírmware y drívers gratis y un buen soporte, como es en el caso
de equipos Cisco Aironet.
De ser posible, se deben realizar pruebas preliminares para verificar el
desempeño y compatibilidad de los equipos de redes inalámbricas.
5.1.3. COSTOS Y APLICACIONES PRÁCTICAS DE WEP Y LEAP
Las soluciones para una red inalámbrica segura con WEP y LEAP tienen
diferentes áreas de aplicación y portante una considerable diferencia económica
en su implementación.
La solución WEP es sencilla y rápida de instalar ya que sólo implica la
configuración de las tarjetas inalámbricas y del AP. Sin embargo este método no
ofrece escalabilidad. Por ejemplo si se desea cambiar la clave WEP, se deben
configurar todos los AP's de la red, y realizar el cambio de clave en todos los
usuarios inalámbricos.
Debido a esto, la solución WEP es para ambientes pequeños y medianos, por
ejemplo en hogares, en oficinas y en pequeñas empresas. En estos sitios no se
requiere métodos de seguridad que ofrezcan una gran escalabilidad y facilidades
de administración ya que la infraestructura inalámbrica instalada no es muy
grande. Además por el tamaño del negocio no se justifica la inversión en un
mecanismo de seguridad tan resistente y escalable como lo es LEAP.
La solución LEAP, en cambio, es un método de seguridad muy escalable y de
fácil administración. La distribución de claves es automática y se tiene un
mecanismo central de administración de usuarios en el servidor RADIUS.
Por ejemplo, si se tiene un usuario autorizado que se desea dar de baja,
simplemente se lo retira en el servidor y no es necesaria una actualización de
toda la infraestructura inalámbrica instalada.
229
Por supuesto la escalabilidad ofrecida por LEAP implica un costo económico
adicional considerable (cerca del 50 % más que WEP), tanto en instalación como
en mantenimiento.
Por estas razones la solución de una red inalámbrica segura con LEAP está
dirigida a medianas y grandes empresas donde se manejan redes inalámbricas de
mayor tamaño. Inclusive se puede tener el caso de redes inalámbricas
distribuidas geográficamente, en las que se requiere que los usuarios puedan
asociarse utilizando siempre sus mismas credenciales.
En definitiva la respuesta a la interrogante de qué protocolo de seguridad utilizar
en la red inalámbrica? es: "depende". En la tabla 5.1 se muestra un resumen
comparativo de los entornos de seguridad de WEP y LEAP.
Parámetro W¡ÍEP LEA|P
Nivel Escalabilidad
Facilidad
Administración de
Usuarios
Costo de Instalación
Costo de
Mantenimiento
bajo
NO
Bajo
Alto
Alto
SI
Alto
Bajo
Tabla. 5.1 Comparación WEP - LEAP
5.1.4. LOGS Y SU IMPORTANCIA
Los logs o archivos de registro de eventos, son una buena herramienta para
detectar actividad sospechosa en la WLAN y para obtener información sobre la
utilización de la WLAN. En función de los logs se pueden tomar medidas para
precautelar la segundad de la WLAN y para mejorar e! rendimiento. Ya en la
práctica, en lo que se refiere a seguridad, lo que se debe buscar en los logs es
eventos fallidos de autenticación que indicarían que un hacker está tratando de
230
encontrar vulnerabilidades en la red o que un usuario está mal configurado. En la
tabla 5.2 se muestra una parte del archivo de eventos del servidor RADIUS
Odyssey..
Número
de
Evento
1
2
3
4
5
6
7
8
9
10
11
12
1 13
14
15
Fecha, Hora y Descripción del evento
Sep 26 16:12:46 2004
TTLS disabled.
Sep 26 16:12:46 2004
TTLS disabled.
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
26
26
26
26
26
26
26
26
26
26
26
26
26
16:
16:
17:
17:
17:
17:
18:
18:
18:
18:
18:
18:
18:
12:
33:
51:
51:
56:
56:
06:
07:
07:
07:
11:
15:
15:
46
57
02
02
21
53
44
13
37
48
18
23
31
2004:
2004:
2004:
2004:
2004:
2004:
2004:
2004:
2004:
2004:
2004:
2004:
2004:
: No server certifícate or invalid server certifícate; TLS and
: No server certifícate or invalid server certifícate; TLS and
Odyssey Server starting.
User expíicitly
User explicitly
User explicitly
User explicitly
User explicitly
User explicitly
User explicitly
User explicitly
User explicitly
allowed;
allowed;
allowed;
allowed;
allowed;
allowed;
allowed;
allowed;
allowed;
'usuario V
'usuariol'
'usuariol1
'usuariol'
'usuariol '
'usuariol1
'usuariol1
'usuariol1
'usuariol1
User is not in any allowed group;
User explicitly
User explicitly
allowed;
allowed;
'usuariol '
'usuariol'
accepted.
accepted.
accepted.
accepted.
accepted.
accepted.
accepted.
accepted.
accepted.
'usuariox' rejected.
accepted.
accepted.
Tabla. 5.2 Archivo log del servidor RADIUS Odyssey
Se puede apreciar en la entrada 4, que el día 26 de septiembre del 2004 a las
16:33, se asoció el cliente con nombre "usuariol". En el registro también se indica
que el cliente tenía las credenciales correctas y por tanto fue aceptado (accepted).
Por el contrario en la entrada 13 se aprecia que el día 26 de septiembre de! 2004
a las 18:11, ocurrió un intento de asociación a la WLAN por parte de un cliente
con nombre de usuario "usuariox". Sin embargo las credenciales no fueron las
correctas y por tanto el usuario fue rechazado (rejected).
231
Con un análisis sencillo de la información de los logs se puede detectar la
actividad sospechosa y portante tomar las medidas respectivas.
5.1.5. LA SEGURIDAD COMO PROCESO DINÁMICO
La segundad en redes inalámbricas no es un proceso estático que termina con la
implementación de un determinado mecanismo de seguridad. El proceso debe
ser continuo y dinámico, con pruebas de funcionamiento periódicas y
actualización permanente de las medidas de segundad del sistema. Incluso se
debe tomar en cuenta el cambio total de mecanismo de segundad debido a la
aparición nuevas vulnerabilidades o ai desarrollo de mejores estándares.
Por ejemplo WEP, que hasta hace unos 4 años era considerado un mecanismo
que brindaba suficiente seguridad a las WLAN's, hoy ya no lo es. Si no fuera por
las nuevas herramientas desarrolladas continuamente como TKIP, EAP, etc, ias
WLAN's no habrían podido seguir siendo utilizadas.
Los administradores tienen un gran compromiso en mantener actualizados sus
sistemas de seguridad y someterlos periódicamente a pruebas que verifiquen que
el sistema efectivamente sigue siendo seguro.
5.1.6. TKIP
TKIP es el desarrollo principal de la Wi-Fi Alliance en materia de seguridad.
Gracias a este esfuerzo de los fabricantes se logró que WEP pueda seguir siendo
utilizado corrigiendo sus vulnerabilidades.
Las vulnerabilidades en el diseño de WEP en comparación con TKIP son:
> Clave secreta demasiado pequeña (64 bits).
> La integridad solo se verifica con un simple CRC.
232
> Clave estática, la misma para todos los dispositivos.
> Vector de inicialización (IV) demasiado corto y vulnerable de predicción.
TKIP corrige esto mediante:
> Clave secreta más grande de 128 bits
> Integridad de mensaje criptográfica con la clave compartida y no con un
simple CRC.
> Clave dinámica, por paquete enviado.
> Vector de inicialización más grande (48 bits) y con disciplina de
secuenciamiento.
Gracias a estas mejoras, WEP con mejora TKIP, ha podido seguir siendo el
mecanismo de seguridad más utilizado en ambientes caseros y pequeñas
empresas.
5.1.7. SERVIDOR RADIUS
Para el caso de una empresa grande, se tiene seguramente una infraestructura
de servidores bastante completa. Por ello no es difícil implementar el servicio
RADIUS en una de sus infraestructuras para propósitos de seguridad WLAN. El
costo adicional de mantenimiento y administración no sería significativo y por
tanto una empresa grande puede decidirse fácilmente por mecanismos de
seguridad 802.1x.
5.1.8. EXPANSIÓN DE LAS REDES INALÁMBRICAS
Gracias a los avances en materia de seguridad inalámbrica, las WLAN's han
podido seguir siendo utilizadas con gran contabilidad. Sin embargo el
233
desconocimiento de las nuevas herramientas de seguridad y la falta de políticas
de administración básicas, a hecho que las empresas se sientan desconfiadas de
utilizar esta importante tecnología. En la actualidad esto está cambiando, la
información sobre la tecnología inalámbrica está mas a la mano y los beneficios
que ofrece llegan a ser indispensable para las necesidades de negocios.
5.2. RECOMENDACIONES
5.2.1. POLÍTICA DE SEGURIDAD
Si bien el objetivo principal del presente trabajo no es definir formalmente la
política de seguridad de la red inalámbrica, se han desarrollado y analizado varios
aspectos que se deben ser considerados en la misma. En la tabla 5.3 se
presentan algunas recomendaciones que deben ser tomadas en cuenta en la
política de seguridad de la WLAN.
5.2.2. FILTRADO DE PROTOCOLOS
El filtrado de protocolos permite o niega el uso de un protocolo específico a través
del AP. Además, estos filtros se aplican independientemente en las 2 interfaces
del AP, en la interfaz LAN de radio y en la interfaz LAN cableada.
Esto permite por ejemplo, filtrar SNMP en la interfaz de radio para evitar que los
usuarios inalámbricos puedan usar SNMP con el AP, pero no se impide que se
pueda hacer SNMP al AP desde la LAN cableada.
El filtrado de protocolos a más de servir como una medida de segundad en la
WLAN, también sirve para manejar e! desempeño de la red. Por ejemplo si se
tienen demasiados usuarios en la WLAN y se desea que no se sature la. red con
protocolos que inunden la red de tráfico, se los puede deshabilitar.
234
Política
Eliminación del broadcast
del SSID
Objetivo
Evitar que el SSID de la red se propague por
el área de cobertura, invitando a estaciones
extrañas a asociarse.
Filtrado MAC Permitir que solamente el hardware
autorizado tenga acceso a la WLAN.
Actualización periódica de
drivers y firmware de los
equipos
Añadir nuevas funcionalidades a los equipos y
cubrir agujeros de seguridad.
Restringir el acceso de
configuración de los
equipos
Impedir que personas extrañas puedan
acceder a los equipos y realizar cambios en
su configuración.
Política de contraseñas
fuerte
Para evitar que los usuarios utilicen
contraseñas fáciles de recordar o que sean
referentes a la empresa
Filtrado de protocolos Para que solamente el tráfico autorizado
puede estar presente en la WLAN.
Limitar el
cobertura
área de Asegurarse de que solamente el área
necesaria tenga cobertura inalámbrica y así
evitar que en áreas exteriores las señales se
propaguen.
Registro consistente de
usuarios autorizados
Permanentemente poseer una lista de acceso
actualizada con los usuarios autorizados.
Pruebas periódicas de
funcionamiento y
seguridad
Establecer cronogramas de pruebas de
funcionamiento de la WLAN para tratar de
descubrir posibles nuevas vulnerabilidades.
Tabla. 5.3 Recomendaciones para imapolítica de seguridad en la WLAN
Por ejemplo, es muy práctico deshabilitar el uso del protocolo NetBios1 en la
WLAN ya que inunda la red con broadcast A continuación se muestra el
1 Protocolo de Microsoft que permite compartir archivos en red, entre otras tareas; su característica principales que emite mensajes de broadcast antes de establecer las sesiones entre los usuarios.
235
procedimiento para establecer este filtrado. Primero se debe ingresar a la opción
Protocol Fiiters Setup de la pantalla de Setup en el AP, tal como lo muestra la
figura 5.1. Luego se muestra la pantalla de la figura 5.2. En esta pantalla se tienen
3 tipos de filtros:
> Ethertype Fiiters .- Filtros a nivel de capa de enlace, por ejemplo ARP1
> IP Protocol Fiiters .- Filtros de capa de red, por ejemplo ICMP2
> IP Port Filters .- Filtros a nivel de capa de transporte, como el NETBIOS
Session Service
AP34I)ecciil-er Setup
Cisca AJP340 12 JM
Cisco S Y S T E M S
£¿Íon^g>Nfi?^0Ñe íívortói^¥f,tss«c»tiojw'^^ñíjpffeaSDffetf3 UjUimK 00:02:57
| Sxffrvss S&itpAssociatíons
» Diftriav.Défcttílsi AdcIiüStElter! <
P.oilAásiftmncnis ! AíívancctíXLM ["SÉOicÉSets
Event Logí DisnlwDfifaults | Kv«niK&nd!i«F j Kotiñcfetícinff
: Consolo/Teliietí Time Serve:f Cisco Services
ServicesBooiíícrvcr i Rontin^ ¡ tíameSsiverFTP {Socuiitv [
WebSejvw j SÑí^fPAccouniínt? ] Pro^-Mobila tP
Network Ports Diaz/tastics'- Eihernpt 1 HeiiiificaHon ; H.ii'dwaie! AP Radio í !de:ilif;caiion 1 Koiilwaie
j rutera ) Advfeticíííf Ffitíi's !, Atlvancsd
Fig. 5,1 Opción de filtrado de Protocolos en elAP
Uptíme: 00:05:03
Ethertype Filters
IP Protocol JFüters
IP Port Filters
Policy Groups
DSCP-to-CoS Conversión
Qualty of Service
Fig. 5.2 Pantalla principal de filtrado de protocolos en elAP
1 Áddress Resohition Protocol, resuelve la dirección MAC en función de la dirección IP2 Internet Confrol Message Protocol, permite enviar mensajes de prueba a las estaciones y recibir su eco.
236
Se elige la opción IP Port FHters para configurar el filtro de sesiones Netbios. A
continuación se despliega la pantalla de la figura 5.3 en la que se ingresa un
identificador del filtro y su nombre, en esta caso se elige el identificador 10 y el
nombre netbios. Se continúa la configuración con la opción Add New. A
continuación aparece la pantalla de ia figura 5.4.
AP340ecenter IP Port FíIterS
Cisco AP340 12.04
ei'iivibrÍc--3/jAssociaüons F -
C i s c o S Y S T E M S
Set ID: 10 Set Ñame: netbios
Uptime: 00:09:41
i Add New ¡
Existíus: IP Port Kker S ete:
Edit
Remove
Fig. 5.3 Configuración defilfrado netbios
AP340eceutei IP Port Fílter Set #10Cisco AP34012J04
C i s c o S Y S T E M S
Uptíme: 01:22:50
Ñame:
Default Dispositíon:Defaiúfc Tune To Live (msec);
netbios
block íá
umcast: iniilticast:
Special Cases: neíbios-ssn I Add New
Select an entry from below to
Time-to-Live (msec)sekct IPPort Dispositiou Piioriíy TJmcast Multicnsf Alerfc?
Apply OK Cancel Restore Deíaults
Fig. 5.4 Configuración específica del filtro nuevo
237
En la opción Defauit Dispositfon se elige block para que el tipo de tráfico definido
no pueda pasar por el AP. En ios campos unicast y multicast se configura el
Defauit Time to uve que es el tiempo en miüsegundos que ios paquetes se
mantienen almacenados en el bufferdel AP antes de que éstos sean descartados.
En el campo Special Cases se debe colocar el número de puerto que utiliza el
protocolo que se desea filtrar o el nombre ISO1 del mismo. En el caso de las
sesiones Netbios el puerto es eí 139 y el nombre ISO es netbios-ssn. Para
continuar se da un clic en Add. Luego se despliega la pantalla de la figura 5.5.
AP340ec«iter IP Port 139, FíltCF Set #10
Cisco ÁP340 12 J}4
Disp o sitien:Prionty:Unicast Tirne-to-Live (msec);
Multicast Time~to~Live (msec):
Alert?: O
©Uptime; 01:30:43
block [v|
default [ ]
0
0
no
Re store Deíaulís
Fig. 5.5 Configuración específica del filtro Netbios
En esta pantalla se vuelve a configurar los parámetros ya mencionados
anteriormente y además el tipo de prioridad. Este parámetro se lo deja en la
prioridad por defecto.
También se puede elegir la opción de que el AP emita una alerta cada que el filtro
se aplica. Finalmente se guarda el filtro con OK.
International Standard Organization
238
5.2.3. FACILIDADES ADMINISTRATIVAS
Un factor fundamental al momento de decidir la marca de equipos que se utilizará
en la WLAN, es la facilidad de administración que los mismos ofrecen. La marca
Cisco Aironet, utilizada en las implementaciones inalámbricas del presente trabajo,
brinda opciones de administración y configuración sencillas y muy prácticas.
Por ejemplo el hecho de poder importar y exportar el perfil de configuración de un
usuario inalámbrico, evita que los parámetros de la red como su SSID, clave WEP,
etc, tengan que ser configurados nuevamente en los nuevos usuarios.
Otra facilidad de administración que ofrece Cisco Aironet es la posibilidad de
obtener un archivo de configuración del AP para luego aplicarlo a otro AP. Esto
es muy práctico en casos en los que se requiera expandir el área de cobertura de
la WLAN con otro AP, así ya no es necesario configurar todos los parámetros del
nuevo AP. Por lo tanto se recomienda tomar en cuenta las facilidades
administrativas de los equipos antes de decidirse por una marca.
5.2.4. DISEÑO WLAN Y SIMULACIÓN
Es común en el desarrollo de diseños WLAN realizar simulaciones previas a la
implementación de una determinada solución. Se debe poner especial énfasis en
el área de cobertura, desempeño y seguridad de ia WLAN.
Existe bastante software en el mercado que permiten desarrollar una simulación
completa y cercana de la realidad. Sin embargo esto no implica que las pruebas
de campo con equipos temporales no se deban desarrollar. Por ejemplo en las
simulaciones pueden no ser contemplados problemas como fuentes externas de
interferencia, sobrecarga de tráfico de la red, ataques de negación de servicio
frecuentes, etc.
239
En definitiva la única forma de asegurar un adecuado desempeño y seguridad de
la WLAN es realizando pruebas prácticas y continuas.
5.2.5. SOLUCIONES CON OTROS FABRICANTES
La infraestructura que ofrece CISCO para redes inalámbricas es bastante
completa y robusta, pero también puede ser más costosa que otras marcas. Es
posible encontrar desempeño adecuado y precio más económico con otras
marcas. Por ejemplo el fabricante D-Link ofrece tarjetas inalámbricas PCMCIA
802.11b a 40 usd, aproximadamente la tercera parte del costo de una tarjeta
Cisco Aironet.
Por supuesto, la decisión final depende de varios factores a parte del económico,
por ejemplo la confiabilidad, el desempeño, la cobertura, etc.
5.2.6. EL FUTURO DE LA SEGURIDAD INALÁMBRICA: 802.11Í
Para finales del presente año se espera que esté listo definitivamente el estándar
802.11 i es el esfuerzo final para brindar seguridad a las WLAN's.
Ofrecerá total integridad con 802.1x y encripción más robusta con AES. Como
trabajo futuro se puede plantear la implementación de 802.11 i en una WLAN y
verificar que ios equipos cumplan con el estándar y por supuesto que funcionen
todas sus herramientas de segundad.
A1-1
A.l TLS
Transport Layer Security (TLS) es un protocolo que asegura la privacidad en la
comunicación entre diferentes aplicaciones a través del Internet. TLS se define
en el RFC 2246.
Cuando un cliente y un servidor desean comunicarse, TLS asegura que ningún
tercero pueda capturar y entender la información. TLS es el sucesor de Secure
Sockets Layer (SSL).
TLS se compone de 2 capas funcionales: TLS Record Protocol y TLS
Handshake Protocol.
> TLS Record Protocol provee conexiones seguras mediante la utilización
de mecanismos de encripción simétricos como Data Encryption Standard
(DES). Las claves para la encripción simétrica son generadas de forma
única para cada conexión y se basan en una negociación secreta
realizada por la capa TLS Handshake Protocol. La conexión establecida
es confiable ya que se provee mecanismos de integridad como MD5.
La capa TLS Handshake Protocol permite al servidor y ai cliente
autenticarse entre sí y negociar el algoritmo de encripción y las claves
criptográficas antes de empezar el intercambio de información. La
autenticación puede ser opcional pero generalmente es requerida para al
menos una de las partes. La negociación de las claves compartidas es
segura para evitar que pueda ser interceptada.
A1-2
Para el caso específico de redes inalámbricas el establecimiento del túnel
seguro con TLS se describe a continuación.
1. Primero el servidor y la estación deben autenticarse mutuamente, para lo
cual ambos presentan sus certificados digitales debidamente firmados por
una autoridad certificadora y se autentican mediante un algoritmo de
clave pública como RSA.
2. Como la estación conoce la clave pública del servidor, y a su vez el
servidor conoce la clave pública de la estación, empieza el intercambio de
información necesario para establecer el algoritmo de encripción utilizado
y la llave simétrica que deberán utilizar ambas entidades para el
intercambio de datos posterior. Este intercambio está protegido mediante
encripción asimétrica o de clave pública.
3. Una vez que ambas entidades han negociado el algoritmo de encripción y
la clave secreta, empieza el intercambio de información que es protegido
mediante la clave secreta compartida.
El proceso de autenticación y encripción utilizando certificado digitales ya es
descrito en el capítulo 2 del presente trabajo. Sin embargo la generación de la
clave secreta es un proceso diferente.
A.l.l Generación de la clave de sesión
El cliente y el servidor generan por su cuenta una serie de números aleatorios, el
cliente además genera una clave pre-master secret inicial, igualmente de forma
aleatoria. El cliente y el servidor intercambian esta información mediante sus
respectivas claves públicas.
A1-3
Luego cada entidad por su cuenta aplica la función pseudo aleatoria PSF
(Pseudo-Random Functíon) definida en el RFC 2236 a los 3 valores
intercambiados, generando así la clave MasterSecret para la sesión.
Nuevamente se utiliza la función PSF para aplicarse sobre la clave Master
Secret y los valores aleatorios del servidor y el cliente para generar la clave
secreta de !a sesión TLS. Es importante notar que el servidor y el cliente
encuentran la clave secreta de sesión independientemente del otro y por tanto
no viaja sobre el sistema. En la figura a.1 se muestra este procedimiento.
Pre-MaslorSecreL(psrsassion)
Sessíon Key
Fig. Á.l.l Generación de la clave compartida para TLS
Chapter 1 Overview |
Access Point Specifications
tacess Point SpecificationsTable 1-1 lists Specifications for the access point.
Table 1-1 Access Point Specifications
Category Specification
Physical
Size
Status indicators
6.30 in. (16 cm) Wx4.72 in. (12 cm) D x 1.45 in.
Three indicators on the top panel: Ethernet trafile,radio traffíc
(3.7cm)H
status, and
Connectors On the back panel: An RJ-45 jack for 10/100 Ethernetconnections; a nine-pin serial connector; apower connector(plug-in AC adapter) for a regulated 5V input (340 seriesonly)
Voltage range 24 to 60 VDC (regulated 5 VDC for 340 series only)
Operating temperature range 32 to 122°F (O to 50°C) for 340 and 350 series
-4 to 131°F (-20 to 55°C) for 350 series metal case
32 to 104°F (O to 40°C) for power injectors
Weight Less than 1 Ib (0.45 kg) for 340 and 350 series
1.43 Ibs (0.64 kg) for 350 series metal case
Radio
Power output
Frequency
Range
Moduíation
Data rates
100, 50, 30, 20, 5, or 1 mW for 350 series30, 20, 5, or 1 mW for 340 series(Depending on the regulatory domain in which the access pointis installed)
2.400 to 2.497 GHz (Depending on the regulatory domain inwhich the access point is installed)
Indoor:
150 ft at 1 1 Mbps (100 ft for 340 series only)
350 ft at 1 Mbps (300 ft for 340 series only)
Outdoor:
800 ft at 11 Mbps (400 ft for 340 series only)
2000 ft at 1 Mbps (1500 ft for 340 series only)
Direct Sequence Spread Spectrum
1,2,5.5, and 11 Mbps
Cisco Aironet Access Point Hardware InstaElation Guide
OL-0738-02
A3-1
A.3 Procedimiento de instalación ddAironet Client Utility
Para comenzar la instalación del Aironet Client Utiiity (ACU) versión 5.05.001 se
ejecuta el archivo de instalación mostrado en ia figura A3.1 que viene incluido en el
CD de documentación y drivers junto con la tarjeta inalámbrica Cisco 350. Si se tiene
el caso en el que la versión del ACU que viene en el CD sea anterior, se puede
descargar la versión actualizada del siguiente enlace del fabricante:
http://www.cisco.com/public/sw-center/sw-wireless.shtml
SetupInstallShield (R) Setup Launcher
I fostallShieid Software Corpora...
Fig. Á3.1 Icono de instalación
El proceso instalación comienza y en la pantalla se muestra el mensaje de la figura
A3.2 en el que se indica que se está preparando el asistente para la instalación.
Cisco Aíronet Client Utility Setup ¡s preparing the InstalIShield®Wizatd which WÍII guideiiou through the rest of the setupprocess. Please wait.
•••••••••••••••••I Cancel
Fig. A3.2 Preparación de la instalación
Una vez listo el asistente se muestra la pantalla de la figura A3.3 en la que se indica
que e! proceso de instalación va a empezar. Para continuar se da un clic en Next
A3-2
Welcorme to the Aironet Client Utility Setup program.Thís program will install Aironet Client Utility onyc-urcomputer.
It ís stfongly recommended that you e;-:¡t all Windows programsbefore running thís Setup program.
Click Cancel to quit Setup and then cióse any programs ouheve runníng. Click Nenl to continué with the Setup program.
WARNING; This program is protected by copyright law andInternational treaties.
Unauthorized reproducción or distribution of this program, or anyportion of it, may result in seyere civil and criminal penalties, andwill.be prosecuted to the ma;-;imum extent possible under law.
Cancel
Fig. A3.3 Advertencia de instalación
A continuación se muestra la pantalla de ia figura A3.4 en ei que se tiene la opción
de elegir el tipo de instalación que se requiere. Se tienen 3 opciones:
> LEAP.- instala todas las funcionalidades de LEAP, además se tiene la sub-
opción Allow Saved LEAP User Ñame and Password que añade la
característica de utilizar un nombre de usuario y contraseña almacenados en
disco, sin que sea necesario que el usuario ingrese sus credenciales cada vez
que tenga que asociarse a la WLAN.
> Créate ACU Icón in your Desktop.- Coloca un acceso directo ai ACU en el
escritorio de Windows.
Allow Non-Administrator users to use ACU to modify profiles.- inhabilita a
usuarios que no sena administradores cambiar los perfiles de configuración.
A 3 - 3
Select the options preferred for wíreless network access for yourlocation.
P" LEAP Leverages Cisco software and firmware to causei>our network logon to trigger server-basedauthenticatíon using^our user ñame and passwprd.Requíras a LEAP-enabled RADIUS setver runníngon the network.
If you don't select LEAP now and want to use LEAPlater,i"ou have to run this installation again, selectModífy, and choose this optíon.
W Allow Saved LEAP User Ñame and Password
P" Créate ACU Icón on^our Desktop
W Allow Hon-Administrator users to use ACU to modify profiles
< Back Nenl> Cancel
Fig. Á3.4 Opciones de Instalación
Luego aparece la pantalla de la figura A3.5, en la que se debe elegir la carpeta de
archivos donde se instalará el software. Es recomendable permitir que se cree la
carpeta por defecto. Para continuar se da un clic en Next
Instaffehíeld
Setup wíll instatl Aironet Client Utility in the following folder.
To ínstall to this foldet. click Newt.
To install to a different folder, click Browse and select anotherfolder.
You can choose not to install Aironet Client Utility b i clíckíngCancel to exít Setup.
r D estínation Folder ~
G\...VA¡ronelCI¡enlUlÍlity Browse,.
< Back Next > Cancel
Fig. Á3.5 Directorio de instalación
A 3 - 4
En la pantalla e la figura A3.6 se elige la ubicación del acceso al ACU en el menú de
Windows. Por defecto se instala en Programas. Se da un clic en Next para continuar.
Select Program Folder
Setup will add program icons lo the Program Foldei usted below.You may lype a new folder ñame, or select one fiom the existingFolders list. Click Next lo continué.
Program Folders:
E isÜng Foldets:
AccesionesAdministrative ToolsAdobeAhead NeioApache HTTP Seiver 2.0.50eMuleFunk SoftwareSames
liAlí
< Back Cancel
Fig. A3.6 Ubicación en el menú de programas
Finalmente se han seleccionado todas tas opciones del ACU, el programa empieza la
instalación de archivos, tal como lo muestra la pantalla de la figura A3.7.
Aíronet Client Utílity setup ís peiforming requested operations.
Installing:
C:\...^Aitonet Client UtÍI¡ty\wíndgs.eKe
Fig. A3.7Progi-eso de la instalación
A 3 - 5
Luego aparece la pantalla de la figura A3.8 en la que se solicita reiniciar el equipo
para finalizar la instalación. Se elige la opción Yes, / want to restar my computar now.
Setup Complete
Setup has completad installing Aíronet Client Utility. You have torestart Windows to complete (he selup.
(*" u g l w
C No, | will restarl ny> computei later.
Remove ary disks ftom their drives, and then click Fínish tocomplete seíup.
Finish
Fig. A3.S Finalización de la instalación
Una vez reiniciado el equipo la instalación está completa y el ACU está listo para
funcionar. Se da u clic en el acceso al programa y aparece la pantalla principal del
ACU que se muestra en la figura A3.9,
Aironct Client UtilityCommands Optlons Help
Pfofile Status Statlstlcs Load LlnkTest 51te Unk Preferen Help AfaoutManager FlrmW... Survey Status... ees
C i s c o S Y S T E M S
ATronet Client Utility V5.O1
j Vour Wfeless LAW Adapter Is not Insertedj
Fig. A3.9 Pantalla principal del ACU
G - 1
GLOSARIO
AAA.- Abreviatura de Autenticación, Autorización y Accounting,
> Autenticación es el proceso de identificación de un individuo,
normalmente mediante un nombre de usuario y contraseña. Se basa en la
idea de que cada individuo tendrá una información única que le identifique
o que le distinga de otros.
> Autorización es el proceso de aceptar o denegar el acceso de un usuario
a los recursos de la red una vez que el usuario ha sido autenticado con
éxito. La cantidad de datos y servicios a los que el usuario podrá acceder
dependen del nivel de autorización que tenga establecido.
> Accounting es el proceso de rastrear la actividad del usuario mientras
accede a los recursos de la red, incluso la cantidad de tiempo que
permanece conectado, los servicios a los que accede así como los datos
transferidos durante la sesión. Los datos registrados durante este proceso
se utilizan con fines estadísticos, de planeamiento de capacidad, biliing, y
auditoría.
AES.-También conocido como "Rijndael", algoritmo de encriptación simétrica de
128 bits desarrollado por los belgas Joan Daemen y Vincent Rijmen. En Octubre
de 2000 era seleccionado por el Instituto Nacional de Estándares y Tecnología
(NIST) norteamericano como estándar de cifrado reemplazando a DES.
Ataque de Diccionario.- Método empleado para romper la seguridad de los
sistemas basados en passwords (contraseñas) en la que el atacante intenta dar
con la clave adecuada probando todas (o casi todas) las palabras posibles o
recogidas en un diccionario idiomático. Generalmente no se introducen
G - 2
manualmente las posibles contraseñas sino que se emplean programas
especiales que se encargan de ello.
Bluetooth.- Estándar de comunicación inalámbrica que utiliza FHSS, capaz de
transmitir a velocidades de 1 Mbps a una distancia de 10 metros entre aparatos
(normalmente portátiles, impresoras, monitores, teclados, ratones, etc....) que
implementen esta tecnología ya que su FHSS/Hopping Pattern es de 1600 veces
por segundo, lo que asegura transmisiones altamente seguras.
Código Malicioso.- Es un término genérico utilizado para describir el software
malicioso tales como: virus, troyanos, etc.
Crosstalk.- Ruido (interferencia) que fluye entre los cables de comunicación o
dispositivos.
Desvanecimiento por múltiples trayectorias.- La variación de la señal
causada cuando las señales de radio toman varios caminos desde el transmisor
al receptor.
Denegación de Servicio (DoS).- O ataque DoS. Se trata de una ofensiva
diseñada específicamente para impedir el funcionamiento normal de un sistema
y por consiguiente impedir el acceso legal a los sistemas para usuarios
autorizados.
IPsec - IP Security.- Conjunto de protocolos desarrollado por el !ETF para
soportar intercambio seguros de paquetes a nivel IP donde el emisor y receptor
deben compartir una llave pública. Ampliamente extendido para la
implementación de Redes Privadas Virtuales (VPNs), soporta dos modos de
encriptación: Transporte y Túnel. El primero sólo encripta la parte relativa a los
de datos (payload) de cada paquete, pero deja la cabecera intacta. Por su parte,
el modo Túnel, más seguro, ya que encripta todo.
G - 3
LDAP - Protocolo de Acceso Ligero a Directorio, Protocolo para el acceso a
directorios jerárquicos de información. Basado en el estándar X.500, pero
significativamente más simple por lo que también se le denomina x.500-lite, se
diferencia de éste porque soporta TCP/IP, necesario para cualquier tipo de
acceso a Internet. Aunque no está ampliamente extendido, debería poderse
¡mplementar en la práctica mayoría de aplicaciones que se ejecutan virtualmente
sobre plataformas informáticas para obtener información de directorios tales
como direcciones de correo y llaves públicas. Ya que es un protocolo abierto, no
afecta el tipo de servidor en el que se aloje el directorio.
Punto de acceso.- Dispositivo que transporta datos entre una red inalámbrica y
una red cableada (infraestructura).
Puerta Trasera,- No se trata de un virus, sino de una herramienta de
administración remota. Si es instalada por un hacker tiene la capacidad de dar a
un atacante privilegios como administrador. Puede incluso buscar passwords y
datos confidenciales y enviarlos vía mail a un área remota.
Roaming.- Movimiento de un nodo inalámbrico entre dos celdas. El roaming se
da normalmente en infraestructuras de redes construidas con varios puntos de
acceso.
Sniffers.- Programa y/o dispositivo que monitoriza la circulación de datos a
través de una red. Los sniffers pueden emplearse tanto con funciones legítimas
de gestión de red como para el robo de información. Los sniffers no autorizados
pueden ser extremadamente peligrosos para la seguridad de una red ya que
virtualmente es casi imposible detectarlos y pueden ser emplazados en cualquier
lugar, convirtiéndolos en un arma indispensable de muchos piratas informáticos.
Algunas herramientas sniffers conocidas son: WepCrack, Airsnort, NetStumbler,
entre otras.
G - 4
SSL - Secure Sockets Layer- Aprobado como estándar por el IETF, es un
protocolo desarrollado por Netscape para la transmisión privada de documentos
vía Internet cliente/servidor. Trabaja empleando una llave privada de
encriptación de datos que es transferida a través de la conexión SSL. Los
navegadores Netscape y Explorer soportan SSL, y muchas páginas Web
empíean el protocolo para obtener información confidencial del usuario, como
números de tarjeta de crédito, etc.
TLS - Transport Layer Securíty.- Protocolo que garantiza la privacidad y la
seguridad de datos entre aplicaciones cliente/servidor que se comunican vía
Internet.
BIBLIOGRAFÍA
[I] Apuntes de clase de Redes LAN, Ing. Pablo Hidalgo.
[2] CWNA Study Guide - CISCO.
[3] EL AUGE DE LAS REDES INALÁMBRICAS (WLANs), José Manuel
Hidrobo. Ingeniero de Telecomunicación, Antena de Telecomunicación /
Diciembre 2002.
[4] Is Wireless (Data) Dead?, Randy H. Katz. University of California,
Berkeley, 1997.
[5] Tecnologías para redes LAN inalámbricas y Windows XP, Por Tom Fout,
Microsoft Corporation, Julio de 2001.
[6] TANENBAUM, Andrew. Redes de Computadoras, Cuarta Edición.
Prentice Hall. México. 2003.
[7] Apuntes de Clase, Seguridad en Redes, Ing Nelson Ávila.
[8] http://oreilly.wirelessdevnet.com/
[9] CANA VAN, John. Fundamentáis of Network Securíty, Primera Edición.
Artech House, New York. 2001.i
[10] http://siberiano.aragon.unam.mx/index.html
[II] DRAFT Wireless Network Securíty 802.11, Bluetooth™ and Handheld
Devices, NIST, Special Publication 800-48.
[12] IEEE Instituto of Electrícal and Electronics Engineers. IEEE Standard
for Local and Metropolitan Área Networks: IEEE Standard for Wireles LAN
Médium Access (MAC) and Physical Layer (PHY) Specifications. IEEE
802.11. Junio 1997.
[13] 802.11 Wiraless Networks, The Definitive Guide, Matthew S Gast, O
Reilly, Abril 2002.
[14]http://www.cisco.com/univercd/cc/td/doc/product/wireless/airo_350/accs
spt/ap350hig/ap350ch3.pdf
[15] OdysseyServer 1.1 Administration Guide, Funk Software Inc.